Auditoria Informatica-Municipalidad Moquegua

A
U
D
I
T
O
R
I
A
UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI
I
N
F
O
R
M
A
T
I
C
A
UNIVERSIDAD JOS CARLOS MARITEGUI

ING. DE SISTEMAS E INFORMTICA
AUDITORIA INFORMATICA
MUNICIPALIDAD
PROVINCIAL MARISCAL
NIETO
INTEGRANTES:
ORLANDO JIMMY MAMANI POMA
MICHELLA AROHUANCA A.
WILLY MAMANI CUTIPA
CARMEN QUIONEZ MAYTA
MADELEINE MUOZ ORTEGA
NELSSY POCOHUANCA TURPO
AUDITORIA DE SISTEMAS
CAPITULO
I
AUDITORIA
INFORMATICA
1. TOMA DE CONTACTO
2. DEFINICIN DEL ALCANCE.
3. RECURSOS Y TIEMPO.
4. PROGRAMA DE TRABAJO: RECOPILACIN DE INFORMACIN.
5. IDENTIFICACIN DE RIESGOS POTENCIALES.
6. DEFINICIN DE PRUEBAS.
7. OBTENCIN DE RESULTADOS.
8. CONCLUSIONES Y COMENTARIOS.
9. REVISIN Y CIERRE DE PAPELES DE TRABAJO.
10. PREPARACIN DEL BORRADOR DEL INFORME.
11. DISCUSIN DEL INFORME.
12. EMISIN Y DISTRIBUCIN.
13. PLAN DE MEJORAS.
AUDITORIA INFORMATICA
1.
1.1.ORIGEN DE LA AUDITORIA:
La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003,

aprobada mediante Resolucin de Contralora N 235- 2002-CG del 15 de Diciembre
del 2002.
1.2.OBJETIVOS Y ALCANCE
1.2.1. OBJETIVO GENERAL
Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los

equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que
participan en el procesamiento de la informacin, a fin de que por medio del
sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura
de la informacin que servir para una adecuada toma de decisiones.
1.2.2. OBJETIVOS ESPECIFICOS

Evaluar el diseo y prueba de los sistemas del rea de Informtica
Determinar la veracidad de la informacin del rea de Informtica
Evaluar
los
procedimientos
de
control
de
operacin,
analizar
su
estandarizacin y evaluar el cumplimiento de los mismos.

Evaluar la forma como se administran los dispositivos de almacenamiento
bsico del rea de Informtica
Evaluar el control que se tiene sobre el mantenimiento y las fallas de las Pcs.
Verificar las disposiciones y reglamentos que coadyuven al mantenimiento del
orden dentro del departamento de cmputo.
1.3.ANTECEDENTES
La convencin Nacional el 29 de Diciembre de 1857 aprueba la ley que es

promulgada por el libertador Ramn Castilla disponiendo q el Dpto. de Moquegua,
conformando por 04 provincias: Tacna, Arica, Tarapac y Moquegua, entre otros
Dptos., procedan a constituir juntas electorales en las capitales de Dptos.,
provincias y distritos, para q se elijan las primeras Municipalidades establecidas
por la constitucin.
En la Capital de la Provincia de Moquegua, deban elegirse 11 Municipalidades, en
el resto de la Provincia (Torata, Omate, Ubinas, Carumas, Puquina, Iloe Ichua)el
numero de Municipalidades variaban de 3 a 5 miembros.
Exactamente no se conoce la fecha cuando comenzaron las funciones
municipalidades en Moquegua, trabajo de investigacin histrica que es necesario
abocarse para que bajo su conocimiento se de luces y perspectivas en el
desenvolvimiento participatorio de la comunidad en el desarrollo de la
municipalidad.
Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moquegua
ocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuya
construccin data de 1799 y que fue donada a la Municipalidad de Moquegua el 05
de Setiembre de 1945.
Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una
infraestructura moderna ubicada en la calle Ancash N 275
1.4.ENFOQUE A UTILIZAR
La presente accin de control, se realiza de acuerdo con el organismo central y
rector de los Sistemas Nacionales de Estadstica e Informtica, responsable de
normar, supervisar y evaluar los mtodos, procedimientos y tcnicas estadsticas e
informticas utilizados por los rganos del Sistema INEI (Instituto Nacional de
Estadstica e Informtica), Normas Internacionales de Auditoria (NIA); habindose
aplicado procedimientos de Auditoria que se consideraron necesarios de acuerdo
a las circunstancias.
La presente Auditoria Informtica se realizara en la Municipalidad Provincial de

Mariscal Nieto, ubicada en el Distrito de Moquegua, Provincia Mariscal Nieto
Departamento de Moquegua, siendo el rea a examinarse la de Informtica.
1.5.RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A

EXAMINAR
Periodo de Gestin
Apellidos
Nombres
Cervantes Games,
Ivan
Manchiria Zeballos,
Victoria
Velasquez Zapata,
Sonia
Gamez Villa, Celia
Cargo
Del
Domicilio
Al
Jefe
01.01.03 30.12.03
Av. Balta N232
Planillas
01.01.03 30.12.03
Calle Lima N 44
Secretaria
01.01.03 30.12.03
Secretaria
01.01.03 30.12.03 Calle Lima N1420
Calle Moquegua
N145
1.6.CRONOGRAMA DE TRABAJO
PROGRAMA DE AUDITORIA
EMPRESA: Municipalidad Provincial Mariscal Nieto
FASE
ACTIVIDAD
FECHA: HOJA N
HORAS
ENCARGADOS
ESTIMADAS
I
VISITA PRELIMINAR
Solicitud de Manuales y Documentaciones.
Elaboracin de los cuestionarios.
Recopilacin de la informacin
8 HS.
organizacional: estructura orgnica, recursos

humanos, presupuestos.
II
DESARROLLO DE LA AUDITORIA
Aplicacin del cuestionario al personal.
Entrevistas a lderes y usuarios mas
32 HS.
relevantes de la direccin.
Anlisis de las claves de acceso, control,

seguridad, confiabilidad y respaldos.
Evaluacin de la estructura orgnica:

departamentos, puestos, funciones, autoridad
y responsabilidades.
Evaluacin de los Recursos Humanos y de la

situacin Presupuestal y Financiera:
desempeo, capacitacin, condiciones de
trabajo, recursos en materiales y financieros
mobiliario y equipos.
Evaluacin de los sistemas: relevamiento de

Hardware y Software, evaluacin del diseo
lgico y del desarrollo del sistema.
Evaluacin del Proceso de Datos y de los

Equipos de Cmputos: seguridad de los
datos, control de operacin, seguridad fsica y
procedimientos de respaldo.
III
IV
REVISION Y PRE-INFORME
Revisin de los papeles de trabajo.
Determinacin del Diagnostico e Implicancias.
Elaboracin de la Carta de Gerencia.
Elaboracin del Borrador.
INFORME
16 HS.
4 HS.
Elaboracin y presentacin del Informe.
DIAGRAMA DE GANTT
1.7.DOCUMENTOS A SOLICITAR
Polticas, estndares, normas y procedimientos.
Plan de sistemas.
Planes de seguridad y continuidad
Contratos, plizas de seguros.
Organigrama y manual de funciones.
Manuales de sistemas.
Registros
Entrevistas
Archivos
Requerimientos de Usuarios
1.8.EJECUCION DE LA REVISION ESTRATEGICA
1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD
Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moquegua

ocupaba una casona ubicada en la calle Moquegua N 851, inmueble cuya
construccin data de 1799 y que fue donada a la Municipalidad de Moquegua el 05

de Setiembre de 1945.
Actualmente la Municipalidad Provincial de Mariscal Nieto cuenta con una
infraestructura moderna ubicada en la calle Ancash N 275
1.8.2. AUTORIDADES DE LA MUNICIPALIDAD PROVINCIAL DE MARISCAL

NIETO
NOMBRE
CARGO
Dr. Vicente Antonio
Alcalde
Zeballos Salinas
Dr. Javier Flores Arocutipa
Mag. Hilda Guevara Gomez
Ing. Oscar Paredes Vargas
Mag. Victor Cornejo
Vicerrector
Decana de la Facultad de
Ciencias de la Salud
Decano de la Facultad de
Ingeniera
Decano de Cs.Jurdicas,
Rodriguez
Empresariales y
Pedaggicas.
1.8.3. PRINCIPALES ACTIVIDADES:

Acordar su rgimen de rgano Interior
Aprobar su presupuesto
Aprobar sus Bienes y Rentas
Crear, modificar, suprimir o examinar sus contribuciones, atribuciones y
derecho, conforme a Ley.
Organizar, Reglamentar y Administrar sus servicios pblicos locales.
10
Contratar con otras entidades pblicas y no pblicas, preferentemente locales,

la atencin de los servicios que no administraron directamente.
Planificar el desarrollo de sus pueblos y ejecutar los planes correspondientes.
Examinar el cumplimiento de sus propias Normas, a travs de sus propios
medios o con el auxiliar de las fuerzas policiales.
Celebrar contratos con otros municipios para organizar servicios comunes.
Promover y organizar la participacin de los vecinos en el desarrollo comunal.
1.8.4. FUNCIONES GENERALES

Planificar, ejecutar e impulsar, a travs de los rganos correspondientes, el
conjunto de acciones destinadas a proporcionar al ciudadano, el ambiente
adecuado para las satisfacciones de sus necesidades viales de vivienda,
salubridad, abastecimiento, educacin, recreacin, transporte y comunicacin.
Formular el plan de desarrollo distrital en concordancia con las necesidades y
requerimientos de la poblacin organizada y los planes de desarrollo nacional
y regional.
Conducir los programas de acondicionamiento territorial, vivienda y seguridad
colectiva, conforme lo establece la ley orgnica de municipalidades, velando
por su ejecucin.
11

COMISIONES ORDINARIAS
CONSEJO
MUNICIPAL
CONSEJO DE COORDINACION PROVINCIAL
CONSEJO DE COORDINACION DISTRITAL

OFICINA DE AUDITORIA
1.9.ORGANIGRAMA
JUNTA DE DELEGADOS VECINALES
ALCALDIA
PROCURADURIA
MUNICIPAL
COMIT MUNICIPAL DEFENSORIA DEL NIO Y DEL

ADOLECENTE
SUB GERENCIA
SECRETARIA GENERAL
SUB GERENCIA DE IMAGEN

INSTITUCIONAL
COMIT PROVINCIAL DE DEFENSA CIVIL
COMIT DE DEFENSA DEL USUARIO
GERENCIA MUNICIPAL
SUB GERENCIA SUPERVISION

SECRETARIA GENERAL
GERENCIA DE
ADMINISTRACION
SUB GERENCIA DE EJCUCION

COACTIVA
GERENCIA DE ASESORIA JURIDICA
GERENCIA DE FISCALIZACION Y
PRESUPUESTO
GERENCIA DE ADMINISTRACION
TRIBUTARIA
SUB GERENCIA DE
INVESTIGACION Y C.T.I.
SUB GERENCIA DE
CONTABILIDAD Y TESORERIA
SUB GERENCIA DE RECABACION

TRIBUTARIA
SUB GERENCIA DE LOGISTICA

Y CONTROL PATRIMONIAL
SUB GERENCIA DE FISCALIZACION

TRIBUTARIA
SUB GERENCIA DE
PLANIFICACION Y PRESIPUESTO
SUB GERENCIA DESARROLLO

ORGANIZACIN E
INFORMATICA
SUB GERENCIA DE RECURSOS

HUMANOS
GERENCIA DE RECURSOS
HUMANOS
GERENCIA DE SERVICIOS A LA
CIUDAD
GERENCIA DE DESARROLLO
ECONOMICO SOCIAL
GERENCIA DE INVERSION
SUB GERENCIA DE PRE INVERCION

SUB GERENCIA PLANEAMIENTO
Y CONTROL URBANO
SUB GERENCIA DE SERVICIOS

PUBLICOS
SUB GERENCIA DE DESARROLLO

ECONOMICO
SUB GERENCIA DE INVERCION
SUB GERENCIA TRANSPORTE Y

SEGURIDAD VIAL
SUB GERENCIA DE
DESARROLLO AMBIENTAL
SUB GERENCIA DE
ABASTECIMIENTO Y
COMERCIALIZACION
SUB GERENCIA DE DESARROLLO

SOCIAL
UNIDAD OPERATIVA GRIFO
MUNICIPAL
SUB GERENCIA DE SEGURIDAD

CIUDADANA
UNIDDA OPERATIVA SERVICIO
MAQUINARIA Y EQUIPO
UNIDAD OPERATIVA PANTA DE

PREFABRICADOS
ENTIDAD PRESTADORA DE
SERVICIOS DE SANEAMIENTO
1.10. MARCO LEGAL APLICABLE
MUNICIPALIDADES DE
CENTROS POBLADOS
12
COMIT ADMINISTRACION
PROGRAMA VASO DE LECHE
La base normativa empleada est compuesta por las Normas Internacionales de

Auditora (NIAs) 1001 Sistemas de Microcomputadoras, 1002 Sistemas de
Microcomputadoras en Lnea, 1003 Sistemas de Bases de Datos, 1008
Evaluacin de Riesgos y Control Interno y el marco COBIT.
1.11. SISTEMAS Y CONTROLES IDENTIFICADOS
a) Control de Actividades y Operaciones.

La Municipalidad Provincial de Mariscal Nieto a formulado el Reglamento de
Organizacin y Funciones (ROF),
Asimismo la entidad ha formulado el Manual de Organizacin y Funciones.
b) Controles de Confiabilidad y Validez de la Informacin.

Las funciones y responsabilidades de cada funcionario y/o directivo estn
establecidas en el Reglamento General Interno, Reglamento de Organizacin
y Funciones (ROF).
1.12. OFICINA DE PLANEACION Y PRESUPUESTO
1.12.1.
AREA DE COMPUTO E INFORMATICA
MISION
El rea de Computo e informtica de la municipalidad Provincial de Mariscal Nieto

Moquegua, tiene por misin normar el adecuado uso y aprovechamiento de los
recursos informticos; la optimizacin de las actividades, servicios procesos y
acceso inmediato a informacin para la toma de decisiones, mediante el
desarrollo, implantacin y supervisin del correcto funcionamiento de los sistemas
13
y comunicaciones, as como la adquisicin y control de la plataforma fsica de

computo.
VISION:
El rea de cmputo e informtica, de la Municipalidad Provincial Mariscal Nieto,

capaz de liderar el desarrollo informtico, asegurando un marco transparente para
el acceso a los ciudadanos a la informacin
1.12.2.
SITUACION ACTUAL
Ubicacin:
El rea de cmputo e informtica orgnicamente depende de la oficina de

planificacin y presupuesto, asumiendo la responsabilidad de dirigir los procesos
tcnicos de informtica
Recursos Humanos:
Actualmente en el rea de cmputo e informtica labora una sola persona quien

cumple las funciones de administracin, capacitacin, soporte y procesamiento de
datos.
Recursos informticos existentes:
Servidores (Windows 2000 Server)
Computadoras Personales
Impresoras
1.12.3. OBJETIVOS:
El rea de Cmputo e informtica tiene los siguientes objetivos Sectoriales:
14
Apoyar a las Municipalidades Distritales de la Provincia de Mariscal Nieto.

Estandarizar y Uniformizar informacin relevante referente a los gobiernos
locales
Brindar un mejor servicio a los usuarios de Moquegua, a travs de una pagina
Web
OBJETIVOS ESPECIFICOS (PRESUPUESTADOS):

Equipamiento de la gestin Municipal.
Optimizar las aplicaciones existentes a satisfaccin de la municipalidad.
Digitalizacin de Partidas de Nacimiento, Matrimonio y Defuncin
Brindar acceso a Internet
Diseo y elaboracin de pginas Web.
Alojamiento y Mantenimiento de la Pagina Web.
1.12.4.
ANALISIS FODA
Fortalezas
Disponibilidad de recursos econmicos.
Personal Directivo y tcnico con amplia experiencia(recursos humanos)
Capacidad de Convocatoria(Difusin)
Oportunidades
Bsqueda de reduccin de costos, aprovechando la aparicin de

nuevas tecnologas.
Buen servicio y trato.
Tendencias Tecnolgicas generan un amplio campo de accin
Predisposicin y voluntad de los nuevos directivos para cambio

Tecnolgico
15
Debilidades
Falta de planes y Programas Informticos.
Poca identificacin del personal con la institucin
Inestabilidad laboral del personal
Escasa capacidad de retencin y voluntad del personal
No existe programas de capacitacin y actualizacin al personal
La oficina del rea de computo e informtica muy reducido
Personal tcnico Calificado insuficiente en el rea de computo
Amenazas
Rotacin permanente del personal imposibilitando continuidad a los

objetivos propuestos.
Estandarizar y Uniformizar informacin relevante referente a los

gobiernos locales.
16
PLAN DE AUDITORIA
2.
2.1.METODOLOGIA
La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin:

Para la evaluacin del rea de Informtica se llevarn a cabo las siguientes
actividades:
Solicitud de los estndares utilizados y programa de trabajo
Aplicacin del cuestionario al personal
Anlisis y evaluacin del a informacin
Elaboracin del informe
Para la evaluacin de los sistemas tanto en operacin como en desarrollo se
llevarn a cabo las siguientes actividades:
Solicitud del anlisis y diseo del os sistemas en desarrollo y en operacin
Solicitud de la documentacin de los sistemas en operacin (manuales

tcnicos, de operacin del usuario, diseo de archivos y programas)
Recopilacin y anlisis de los procedimientos administrativos de cada

sistema (flujo de informacin, formatos, reportes y consultas)
Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos
Anlisis del avance de los proyectos en desarrollo, prioridades y personal

asignado
Entrevista con los usuarios de los sistemas
Evaluacin directa de la informacin obtenida contra las necesidades y

requerimientos del usuario
Anlisis objetivo de la estructuracin y flujo de los programas
Anlisis y evaluacin de la informacin recopilada
Elaboracin del informe
Para la evaluacin de los equipos se llevarn a cabo las siguientes actividades:

Solicitud de los estudios de viabilidad y caractersticas de los equipos

actuales, proyectos sobre ampliacin de equipo, su actualizacin
17
Solicitud de contratos de compra y mantenimientos de equipo y sistemas
Solicitud de contratos y convenios de respaldo
Solicitud de contratos de Seguros
Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria,

archivos, unidades de entrada/salida, equipos perifricos y su seguridad
Visita tcnica de comprobacin de seguridad fsica y lgica de la

instalaciones de la Direccin de Informtica
Evaluacin tcnica del sistema electrnico y ambiental de los equipos y del

local utilizado
Evaluacin de la informacin recopilada, obtencin de grficas, porcentaje

de utilizacin de los equipos y su justificacin
Elaboracin y presentacin del informe final ( conclusiones y recomendaciones)
2.2.JUSTIFICACION
Aumento considerable e injustificado del presupuesto del PAD (Departamento de

Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situacin informtica de la empresa
Falta total o parcial de seguridades lgicas y fisicas que garanticen la integridad

del personal, equipos e informacin.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificacin informtica
Organizacin que no funciona correctamente, falta de polticas, objetivos, normas,

metodologa, asignacin de tareas y adecuada administracin del Recurso
Humano
Descontento general de los usuarios por incumplimiento de plazos y mala calidad

de los resultados
Falta de documentacin o documentacin incompleta de sistemas que revela la

dificultad de efectuar el mantenimiento de los sistemas en produccin
2.3.MOTIVO O NECESIDAD DE UNA AUDITORIA INOFRMATICA:
2.3.1. Sntomas de descoordinacin y desorganizacin:
18
No coinciden los objetivos del rea de Informtica y de la propia Institucin.

Los estndares de productividad se desvan sensiblemente de los
promedios conseguidos habitualmente. Puede ocurrir con algn cambio
masivo de personal, o en una reestructuracin fallida de alguna rea o en
la modificacin de alguna Norma importante
2.3.2. Sntomas de mala imagen e insatisfaccin de los usuarios:

No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios
de software en los terminales de usuario, resfrecamiento de paneles, variacin
de los ficheros que deben ponerse diariamente a su disposicin, etc.
No se reparan las averas de hardware ni se resuelven incidencias en plazos
razonables. El usuario percibe que est abandonado y desatendido
permanentemente.
No se cumplen en todos los casos los plazos de entrega de resultados
peridicos. Pequeas desviaciones pueden causar importantes desajustes en
la actividad del usuario, en especial en los resultados de Aplicaciones crticas
y sensibles.
2.3.3. Sntomas de debilidades econmico-financiero:

Incremento desmesurado de costes.
Necesidad de justificacin de Inversiones Informticas (la empresa no est
absolutamente convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costes y plazos de nuevos proyectos (deben auditarse simultneamente a
Desarrollo de Proyectos y al rgano que realiz la peticin).
2.3.4. Sntomas de Inseguridad: Evaluacin de nivel de riesgos

Seguridad Lgica
Seguridad Fsica
19
Confidencialidad
Los datos son propiedad inicialmente de la organizacin que los genera. Los
datos de personal son especialmente confidenciales
20
CAPITULO
II
AUDITORIAS
21
AUDITORIA FISICA
1. Alcance de la Auditoria
Organizacin y cualificacin del personal de Seguridad.
Remodelar el ambiente de trabajo.
Planes y procedimientos.
Sistemas tcnicos de Seguridad y Proteccin.
2. Objetivos
Revisin de las polticas y Normas sobre seguridad Fsica.
Verificar la seguridad de personal, datos, hardware, software e instalaciones
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente
informtico
PREGUNTAS
SI
NO
1. Se han adoptado medidas de seguridad en el departamento de

sistemas de informacin?
2. Existe
una
persona
responsable
de
la
seguridad?
3. Se ha dividido la responsabilidad para tener un mejor control de la

seguridad?
4. Existe
personal
de
vigilancia
en
la
institucin?
5. Existe una clara definicin de funciones entre los puestos clave?
6. Se investiga a los vigilantes cuando son contratados directamente?

7. Se
controla
el
trabajo
fuera
de
horario?
X
X
8. Se registran las acciones de los operadores para evitar que realicen X

algunas pruebas que puedan daar los sistemas?.
9. Existe vigilancia en el departamento de cmputo las 24 horas?
10. Se permite el acceso a los archivos y programas a los

programadores, analistas y operadores?
11. Se ha instruido a estas personas sobre que medidas tomar en caso
de que alguien pretenda entrar sin autorizacin?
N/A
X
X
22
12. El centro de cmputo tiene salida al exterior?

13. Son controladas las visitas y demostraciones en el centro de
cmputo?
14. Se registra el acceso al departamento de cmputo de personas
ajenas a la direccin de informtica?
15. Se vigilan la moral y comportamiento del personal de la direccin de
informtica con el fin de mantener una buena imagen y evitar un
posible fraude?
16. Se ha adiestrado el personal en el manejo de los extintores?
17. Se revisa de acuerdo con el proveedor el funcionamiento de los
extintores?
18. Si es que existen extintores automticos son activador por detectores
automticos de fuego?
19. Los interruptores de energa estn debidamente protegidos,
etiquetados y sin obstculos para alcanzarlos?
20. Saben que hacer los operadores del departamento de cmputo, en
caso de que ocurra una emergencia ocasionado por fuego?
21. El personal ajeno a operacin sabe que hacer en el caso de una
emergencia (incendio)?
22. Existe salida de emergencia?
23. Se revisa frecuentemente que no est abierta o descompuesta la
cerradura de esta puerta y de las ventanas, si es que existen?
24. Se ha adiestrado a todo el personal en la forma en que se deben
desalojar las instalaciones en caso de emergencia?
25. Se ha prohibido a los operadores el consumo de alimentos y bebidas
en el interior del departamento de cmputo para evitar daos al
equipo?
26. Se limpia con frecuencia el polvo acumulado debajo del piso falso si
existe?
27. Se cuenta con copias de los archivos en lugar distinto al de la
computadora?
28. Se tienen establecidos procedimientos de actualizacin a estas
copias?
29. Existe departamento de auditoria interna en la institucin?
30. Este departamento de auditoria interna conoce todos los aspectos de
los sistemas?
31. Se cumplen?
32. Se auditan los sistemas en operacin?
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
33. Una vez efectuadas las modificaciones, se presentan las pruebas a X

los interesados?
34. Existe control estricto en las modificaciones?
X
35. Se revisa que tengan la fecha de las modificaciones cuando se X
hayan efectuado?
36. Si se tienen terminales conectadas, se ha establecido
procedimientos de operacin?
37. Se ha establecido que informacin puede ser acezada y por qu
persona?
X
X
X
X
X
23
Auditoria fsica:
Para hallar el SI
37
13
100%
X
X = 31.1
Para hallar el NO
37
24
100%
X
X = 64.86
LISTADO DE VERIFICACIN DE AUDITORIA FISICA
Gestin fsica de seguridad.
100%
Excelente
80%
Buena
60%
Regular
40%
Mnimo
20%
No cumple
40%
20%
Los objetivos de la
instalacin fsica
De computo
Las caractersticas
fsicas de son
seguras de centro
Los componentes
fsicos de computo
La conexiones de
los equipos de las
comunicaciones e
instalaciones
fsicas
La infraestructura
es
El equipos es
La distribucin de
los quipos de
computo es
Evaluacin de anlisis fsica de cmputo

100%
80%
60%
24

Excelente
Bueno
Regular
Mnimo
No cumple
Evaluacin de la existencia y uso de

normas, resolucin base legal para el
diseo del centro de computo.
El cumplimiento de los objetivos
fundamentales de la organizacin para
instalar del centro de cmputo.
La forma de repartir los recursos
informticos de la organizacin.
La confiabilidad y seguridades el uso
de la informacin institucional
La satisfaccin de las necesidades de
poder computacional de la
organizacin.
La solucin a identificacin del centro
de cmputo (apoy).
Anlisis de la delimitacin la manera en que se cumplen:

100%
Excelente
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
La delimitacin espacial, por las

dimensiones fsicas.
La delimitacin tecnolgica, por los
requerimientos y conocimientos
informticos.
Anlisis de la estabilidad y el aprovechamiento de los recursos a para instalar el centro de computo.
100%
Excelente
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
Anlisis de la
transparencia del
trabajo para los
usuarios.
La ubicacin del
centro de computo
Los
requerimientos de
seguridad del
centro de computo
Evaluacin del diseo segn el mbito
100%
Excelente
Anlisis del
ambiente de
trabajo
Evaluar el
funcionamiento de
los equipos
El local para el
trabajo es
Los equipos
cuentan con
ventilacin
25

La iluminacin
Anlisis de la seguridad fsica

100%
Excelente
La seguridad de
los equipos.
80%
Bueno
60%
Regular
40%
Mnimo
20%
No cumple
El estado centro
de computo esta
en
Los accesos de
salida son
26
INFORME DE AUDITORIA
1. Identificacin del informe
Auditoria fsica.
2. Identificacin del Cliente

El rea de Informtica
3. Identificacin de la Entidad Auditada

Municipalidad Provincial de Moquegua.
4. Objetivos
Verificar la estructura de distribucin de los equipos.
Revisar la correcta utilizacin de los equipos
Verificar la condicin del centro de cmputo.
5. Hallazgos Potenciales
Falta de presupuesto y personal.
Falta de un local mas amplio
No existe un calendario de mantenimiento
Falta de ventilacin.
.faltan salida al exterior
Existe salidas de emergencia.
6. Alcance de la auditoria
Nuestra auditoria, comprende el presente periodo 2004 y se ha realizado

especialmente al Departamento de centro de cmputo de acuerdo a las normas y
dems disposiciones aplicable al efecto.
27
7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos cumplido con

evaluar cada uno de los objetivos contenidos en el programa de auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre todo en el

debido cumplimiento de Normas de seguridad.
8. Recomendaciones
Reubicacin del local
Implantacin de equipos de ultima generacin
Implantar equipos de ventilacin
Implantar salidas de emergencia.
Elaborar un calendario de mantenimiento de rutina peridico .
Capacitar al personal.
9. Fecha Del Informe
FECHAS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
10. Identificacin Y Firma Del Auditor
APELLIDOS Y NOMBRES
CARGO
MAMANI CUTIPA WILY
AUDITOR SUPERIOR
28
AUDITORIA DE LA OFIMATICA
1. Alcance de la Auditoria.
Planes y procedimientos
Polticas de Mantenimiento
Inventarios Ofimaticos
Capacitacin del Personal
2. Objetivos de la Auditoria.-
Realizar un informe de Auditoria con el objeto de verificar la existencia de controles

preventivos, detectivos y correctivos, as como el cumplimiento de los mismos por los
usuarios.
PREGUNTAS
SI
NO
N/A
1. Existe un informe tcnico en el que se justifique

la adquisicin del equipo, software y servicios de
computacin,
incluyendo
un
estudio
costo-
beneficio?
2. Existe
un
comit
que
coordine
se
responsabilice de todo el proceso de adquisicin e

instalacin?
3. Han elaborado un instructivo con procedimientos
a seguir para la seleccin y adquisicin de
equipos, programas y servicios computacionales?
4. se cuenta con software de oficina?
5. Se han efectuado las acciones necesarias para

una mayor participacin de proveedores?
29
6. Se ha asegurado un respaldo de mantenimiento

y asistencia tcnica?
7. El acceso al centro de cmputo cuenta con las
seguridades necesarias para reservar el ingreso
al personal autorizado?
8. Se han implantado claves o password para
garantizar operacin de consola y equipo central
(mainframe), a personal autorizado?
9. Se han formulado polticas respecto a seguridad,
privacidad y proteccin de las facilidades de
procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de
violacin?
10. Se mantiene un registro permanente (bitcora)
de
todos
los
procesos
realizados,
dejando
constancia de suspensiones o cancelaciones de

procesos?
11. Los
operadores
del
equipo
central
estn
entrenados para recuperar o restaurar informacin

en caso de destruccin de archivos?
12. Los backups son mayores de dos (padres e
hijos) y se guardan en lugares seguros y
adecuados, preferentemente en bvedas de
bancos?
13. Se han implantado calendarios de operacin a
fin de establecer prioridades de proceso?
14. Todas las actividades del Centro de Computo
estn normadas mediante manuales, instructivos,
normas, reglamentos, etc.?
15. Las instalaciones cuentan con sistema de
alarma por presencia de fuego, humo, as como
extintores de incendio, conexiones elctricas
30
seguras, entre otras?

16. Se han instalado equipos que protejan la
informacin y los dispositivos en caso de variacin
de
voltaje
como:
reguladores
de
voltaje,
supresores pico, UPS, generadores de energa?

17. Se han contratado plizas de seguros para
proteger la informacin, equipos, personal y todo
riesgo que se produzca por casos fortuitos o mala
operacin?
18. Se han Adquirido equipos de proteccin como
supresores de pico, reguladores de voltaje y de
ser posible UPS previo a la adquisicin del
equipo?
19. Si se vence la garanta de mantenimiento del
proveedor se contrata mantenimiento preventivo y
correctivo?
20. Se establecen procedimientos para obtencin de
backups de paquetes y de archivos de datos?
21. Se hacen revisiones peridicas y sorpresivas del
contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de la
empresa?
22. Se mantiene programas y procedimientos de
deteccin e inmunizacin de virus en copias no
autorizadas o datos procesados en otros equipos?
23. Se propende a la estandarizacin del Sistema
Operativo, software utilizado como procesadores
de palabras, hojas electrnicas, manejadores de
base de datos y se mantienen actualizadas las
versiones y la capacitacin sobre modificaciones
incluidas?
31
24. existen licencias
Auditoria Ofimtica .
Para hallar el SI
24
15
100%
X
X = 62.5
Para hallar el NO
24
7
100%
X
X = 18.91
32
Auditoria de la Ofimtica


Municipalidad Provincial Mariscal Nieto
4. Objetivos
Verificar si el hardware y software se adquieren siempre y cuando tengan la

seguridad de que los sistemas computarizados proporcionaran mayores beneficios
que cualquier otra alternativa.
Verificar si la seleccin de equipos y sistemas de computacin es adecuada
Verificar la existencia de un plan de actividades previo a la instalacin
Verificar que los procesos de compra de Tecnologa de Informacin, deben estar

sustentados en Polticas, Procedimientos, Reglamentos y Normatividad en
General, que aseguren que todo el proceso se realiza en un marco de legalidad y
cumpliendo con las verdaderas necesidades de la organizacin para hoy y el
futuro, sin caer en omisiones, excesos o incumplimientos.
Verificar si existen garantas para proteger la integridad de los recursos

informticos.
Verificar la utilizacin adecuada de equipos acorde a planes y objetivos.
Falta de licencias de software.
Falta de software de aplicaciones actualizados
No existe un calendario de mantenimiento ofimatico.
Faltan material ofimtica.
33
Carece de seguridad en Acceso restringido de los equipos ofimaticos

y software.

especialmente al Departamento de centro de cmputo de acuerdo a las
normas y dems disposiciones aplicable al efecto.
El alcance ha de definir con precisin el entorno y los lmites en que va a

desarrollarse la auditoria Ofimtica, se complementa con los objetivos de
sta.
7. Conclusiones:
Como resultado de la Auditoria podemos manifestar que hemos

cumplido con evaluar cada uno de los objetivos contenidos en el
programa de auditoria.
El Departamento de centro de cmputo presenta deficiencias sobre el

debido cumplimiento de Normas de seguridad.
La escasez de personal debidamente capacitado.
Cabe destacar que la sistema ofimatico pudiera servir de gran apoyo a

la organizacin, el cual no es explotado en su totalidad por falta de
personal capacitado.
8. Recomendaciones
Se recomienda contar con sellos y firmas digitales
Un de manual de funciones para cada puesto de trabajo dentro del rea.
Reactualizacion de datos.
Implantacin de equipos de ultima generacin
34
Capacitar al personal.
PLANEAMIENTO
FECHAS 011004 al 1510-04
EJECUCION
INFORME
16-1004 al 2011-04
231104 al 2811-04
APELLIDOS Y NOMBRES
CARGO
QUIONEZ MAYTA CARMEN
AUDITOR SUPERIOR
35
AUDITORIA DE LA DIRECCION
Organizacin y calificacin de la direccin de Informtica
Plan Estratgico de Sistemas de Informacin.
Anlisis de puestos
Planes y Procedimientos
Normativa
Gestin Econmica.
Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las

medidas aplicadas a las amenazas definidas, as como el cumplimiento de los
requisitos exigidos.
3. Resultados: Se obtendr:
Informe de Auditoria detectando riesgos y deficiencias en la Direccin de

Informtica.
Plan de recomendaciones a aplicar en funcin de:

o
Normativa a cumplir
PREGUNTAS
SI
NO
N/A
1. La direccin de los servicios de informacin

desarrollan regularmente planes a corto, medio y
largo plazo que apoyen el logro de la misin y las
metas generales de la organizacin?
2.
Dispone su institucin de un plan Estratgico de

Tecnologa de Informacin?
36
3. Durante el proceso de planificacin, se presta

adecuada atencin al plan estratgico de la empresa?
4. Las tareas y actividades en el plan tiene la
correspondiente y adecuada asignacin de recursos?
5. Existe un comit de informtica?
6. Existen
estndares
de
funcionamiento
procedimientos que gobiernen la actividad del rea de

Informtica por un lado y sus relaciones con los
departamentos usuarios por otro?
7. Existen
estndares
de
funcionamiento
procedimientos y descripciones de puestos de trabajo

adecuados y actualizados?
8. Los
estndares
procedimientos
existentes
promueven una filosofa adecuada de control?

9. Las descripciones de los puestos de trabajo reflejan
las actividades realizadas en la prctica?
10. La seleccin de personal se basa en criterios
objetivos y tiene en cuenta la formacin, experiencia y
niveles de responsabilidad?
11. El rendimiento de cada empleado se evala
regularmente en base a estndares establecidos?
12. Existen procesos para determinar las necesidades
de formacin de los empleados en base a su
experiencia?
13. Existen controles que tienden a asegurar que el
cambio de puesto de trabajo y la finalizacin de los
contratos laborales no afectan a los controles internos
y a la seguridad informtica?
14. Existe un presupuesto econmico? y hay un
proceso para elaborarlo?
37
15. Existen procedimientos para la adquisicin de

bienes y servicios?
16. Existe un plan operativo anual?
17. Existe un sistema de reparto de costes informticos

y que este sea justo?
18. Cuentan con plizas de seguros?
19. Existen procedimientos para vigilar y determinar
permanentemente la legislacin aplicable?
OBJETIVOS
Determinacin de la utilidad de polticas, planes y procedimientos, as como su

nivel de cumplimiento
Examinar el proceso de planificacin de sistemas de informacin y evaluar si

cumplen los objetivos de los mismos.
Verificar si el comit de Informtica existe y cumple su papel adecuadamente.
Revisar el emplazamiento del departamento de Informtica y evaluar su

dependencia frente a otros.
Evaluar la existencia de estndares de funcionamiento, procedimientos y

descripciones de puestos de trabajo adecuados y actualizados.
Evaluar las caractersticas de la comunicacin entre la Direccin de Informtica y

el personal del Departamento.
Verificar la existencia de un sistema de reparto de costes informticos y que este

sea justo.
38
Auditoria Direccion .
Para hallar el SI
17
12
100%
X
X = 70.58
Para hallar el NO
17
5
100%
X
X = 29.41
39
AUDITORIA DE LA EXPLOTACION
Evaluacin del personal y coherencia de cargos de la propia institucin.
Normas y Procedimientos del rea de informtica
2. Objetivos
funciones que sirven de apoyo a las tecnologas de la informacin.
PREGUNTAS
SI
NO
N/A
1. existe personal con conocimiento y experiencia suficiente que

organiza el trabajo para que resulte lo mas eficaz posible ?
2. existen procedimientos de salvaguardar, fuera de la instalacin
en relacin con ficheros maestros manuales y programas, que
permitan construir las operaciones que sean necesarias?
3. se aprueban por personal autorizado las solicitudes de nuevas
aplicaciones?
4. existe personal con autoridad suficiente que es el que aprueba
los cambios de unas aplicaciones por otras?
5. existen
procedimientos
adecuados
para
mantener
la
documentacin al da ?
6. tienen manuales todas las aplicaciones ?
7. existen controles que garanticen el uso adecuado de discos y

cintas?
8. existen
procedimientos
adecuados
para
conectarce
desconectarce de los equipos remotos?
40
9. se aprueban los programas nuevos y los que se revisan antes

de ponerlos en funcionamiento?
10. revizan y evaluan los deparatamentop de usuario los resultados
de las pruevas finales dando su aprobacin antes de poner en
funcionamiento las aplicaciones ?
11. al poner en funcionamiento nuevas aplicaciones o versiones
actualizada funcionan en paralelo las existentes durante un
cierto tiempo?
1. Se restringe el acceso a los lugares asignados para guardar los
dispositivos de almacenamiento, al personal autorizado?
2. Se tiene relacin del personal autorizado para firmar la salida de
archivos confidenciales?
3. Existe un procedimiento para registrar los archivos que se prestan
y la fecha en que se devolvern?
4. Se lleva control sobre los archivos prestados por la instalacin?
5. Se conserva la cinta maestra anterior hasta despus de la nueva

cinta?
6. El cintotecario controla la cinta maestra anterior previendo su uso
incorrecto o su eliminacin prematura?
7. La operacin de reemplazo es controlada por el cintotecario?
8. Se utiliza la poltica de conservacin de archivos hijo-padreabuelo?

9. En los procesos que manejan archivos en lnea, Existen
procedimientos para recuperar los archivos?
10. Estos procedimientos los conocen los operadores?
11. Existe un responsable en caso de falla?
41
12. Explique que polticas se siguen para la obtencin de archivos de

respaldo?
13. Existe un procedimiento para el manejo de la informacin de la
cintoteca?
14. Lo conoce y lo sigue el cintotecario?
15. Existe un programa de trabajo de captacin de datos?
16. se controla las entradas de documentos fuente?
17. Que cifras de control se obtienen?

Sistema Cifras que se Observaciones Obtienen
18. existen
documento
de
entrada
se
tienen?
Sistemas Documentos Dpto. que periodicidad Observaciones

proporciona el documento
19. Se anota que persona recibe la informacin y su volumen?
20. Se anota a que capturista se entrega la informacin, el volumen y

la hora?
21. Se verifica la cantidad de la informacin recibida para su captura?
22. Se revisan las cifras de control antes de enviarlas a captura?
23. Para aquellos procesos que no traigan cifras de control se ha

establecido criterios a fin de asegurar que la informacin es
completa y valida?
24. Existe un procedimiento escrito que indique como tratar la
informacin invlida (sin firma ilegible, no corresponden las cifras de
control)?
25. En caso de resguardo de informacin de entrada en sistemas, Se
custodian en un lugar seguro?
26. Si se queda en el departamento de sistemas, Por cuanto tiempo se
guarda?
42
27. Existe un registro de anomalas en la informacin debido a mala

codificacin?
28. Existe una relacin completa de distribucin de listados, en la cual
se indiquen personas, secuencia y sistemas a los que pertenecen?
29. Se verifica que las cifras de las validaciones concuerden con los
documentos de entrada?
Se hace una relacin de cuando y a quin fueron distribuidos los
listados?
30. Se controlan separadamente los documentos confidenciales?
31. Se aprovecha adecuadamente el papel de los listados inservibles?
32. Existe un registro de los documentos que entran a capturar?
33. Se lleva un control de la produccin por persona?
34. existe parmetros de control?
Auditoria Explotacin:
Para hallar el SI
40
26
100%
X
X = 65
Para hallar el NO
40
14
100%
X
X = 35
43

Auditoria de la Explotacin


4. Objetivos
Verificar el cumplimiento de plazos y calendarios de tratamientos y entrega de

datos; la correcta transmisin de datos entre entornos diferentes.
Verificar la existencia de normas generales escritas para el personal de

explotacin en lo que se refiere a sus funciones
Verificar la realizacin de muestreos selectivos de la Documentacin de las

Aplicaciones explotadas.
Verificar cmo se prepara, se lanza y se sigue la produccin diaria.

Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotes
sucesivos (Batch*), o en tiempo real (Tiempo Real*).
Evaluar las relaciones personales y la coherencia de cargos y salarios, as

como la equidad en la asignacin de turnos de trabajo.
Verificar la existencia de un responsable de Sala en cada turno de trabajo.
Revisar la adecuacin de los locales en que se almacenan cintas y discos, as

como la perfecta y visible identificacin de estos medios
Incumplimiento de plazos y calendarios de tratamientos y entrega de datos
Inexistencia y falta de uso de los Manuales de Operacin
Falta de planes de formacin
44

especialmente al rea de Informtica de acuerdo a las normas y dems
disposiciones aplicable al efecto.
7. Conclusiones:
Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el

perodo comprendido entre el 01 de Setiembre al 24 de Diciembre del 2004,
podemos manifestar que hemos cumplido con evaluar cada uno de los
objetivos contenidos en el programa de auditoria.
El rea de Informtica presenta deficiencias sobre todo en el debido

cumplimiento de sus funciones y por la falta de ellos.
8. Recomendaciones
Debern realizarse muestreos selectivos de la Documentacin de las

Aplicaciones explotadas
Asignar un responsable del Centro de Cmputos en cada turno de trabajo.
Crear y hacer uso de manuales de operacin.
Revisar los montajes diarios y por horas de cintas o cartuchos, as como los
tiempos transcurridos entre la peticin de montaje por parte del Sistema hasta
el montaje real.
Realizar funciones de operacin, programacin y diseo de sistemas deben

estar claramente delimitadas.
Crear mecanismos necesarios a fin de asegurar que los programadores y

analistas no tengan acceso a la operacin del computador y los operadores a
su vez no conozcan la documentacin de programas y sistemas
45
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
011004 al 1510- 16-1004 al 2011- 231104 al 28

04
04
11-04
APELLIDOS Y NOMBRES
AROHUANCA ANTAHUANACO
MICHELLA
CARGO
AUDITOR SUPERIOR
46
AUDITORIA DEL DESARROLLO

Conexiones
Cifrado
Salidas gateway y routers
Correo Electrnico
Pginas WEB
Firewalls
2. Objetivos
revisar el cumplimiento del proceso completo de desarrollo de proyectos
verificar las metodologas utilizadas
verificar el control interno de las aplicaciones, satisfaccin de los usuarios y control

de procesos y ejecuciones de programas crticos.
Revisar el ciclo de desarrollo del software.
PREGUNTAS
SI
NO
N/A
1. Existe el documento que contiene las funciones que son

competencia del rea de desarrollo, esta aprobado por la
direccin de informtica y se respeta?
2. se comprueban los resultados con datos reales?
3. Existe un organigrama con la estructura de organizacin del

rea?
4. Existe un manual de organizacin que regula las relaciones
47
entre puestos?
5. Existe la relacin de personal adscrito al rea, incluyendo el

puesto ocupado por cada persona?
6. El plan existe, es claro y realista?
7. Estn establecidos los procedimientos de promocin de

personal a puestos superiores, teniendo en cuenta la experiencia
y formacin?
8. El rea de desarrollo lleva su propio control presupuestario?
9. Se hace un presupuesto por ejercicio y se cumple?
10. El presupuesto esta en concordancia con los objetivos a

cumplir?
11. El personal de rea de desarrollo cuenta con la formacin
adecuada y son motivados para la realizacin de su trabajo?
12. Existen procedimientos de contratacin?
13. Las personas seleccionadas cumplen los requisitos del puesto

al que acceden?
14. Las ofertas de puestos del rea se difunden de forma suficiente
fuera de la organizacin y las selecciones se hacen de forma
objetiva?
15. Existe un plan de formacin que este en consonancia con los
objetivos tecnolgicos que se tenga en el rea?
16. El plan de trabajo del rea tiene en cuenta los tiempos de
formacin?
17. Existe un protocolo de recepcin / abandono para las personas
que se incorporan o dejan el rea?
18. Existe un protocolo y se respeta para cada incorporacin /
abandono?
19. En los abandonos del personal se garantiza la proteccin del
48
rea?
20. Existe una biblioteca y una hemeroteca accesibles por el

personal del rea?
21. Esta disponible un numero suficiente de libros, publicaciones
peridicas, monografas, de reconocido prestigio y el personal
tiene acceso a ellos?
22. El personal esta motivado en la realizacin de su trabajo?
23. Existe algn mecanismo que permita a los empleados hacer

sugerencias sobre mejoras en la organizacin del rea?
24. Existe rotacin de personal y existe un buen ambiente de
trabajo?
25. La realizacin de nuevos proyectos se basa en el plan de
sistemas en cuanto a objetivos?
26. Las fechas de realizacin coinciden con los del plan de
sistemas?
27. El plan de sistemas se actualiza con la informacin que se
genera a lo largo de un proceso?
28. Los cambios en los planes de los proyectos se comunican al
responsable de mantenimiento del plan de sistemas?
29. Existe un procedimiento para la propuesta de realizacin de
nuevos proyectos?
30. Existe un mecanismo para registrar necesidades de desarrollo
de nuevos sistemas?
31. Se respeta este mecanismo en todas las propuestas?
32. Existe un procedimiento de aprobacin de nuevos proyectos?
33. Existe un procedimiento para asignar director y equipo de

desarrollo a cada nuevo proyecto?
34. Se tiene en cuenta a todas las personas disponibles cuyo perfil
sea adecuado a los riesgos de cada proyecto y que tenga
49
disponibilidad para participar?
35. Existe un protocolo para solicitar al resto de las reas la

participacin del personal en el proyecto y se aplica dicho
protocolo?
36. Existe un procedimiento para conseguir los recursos materiales
necesarios para cada proyecto?
37. Se tiene implantada una metodologa de desarrollo de sistemas
de informacin soportada por herramientas de ayuda?
38. La metodologa cubre todas las fases del desarrollo y es
adaptable a distintos tipos de proyectos?
39. La metodologa y las tcnicas asociadas a la misma estn
adaptadas al entorno tecnolgico y a la organizacin del rea de
desarrollo?
40. Existe un catalogo de las aplicaciones disponible en el rea?
41. Existe un registro de problemas que se producen en los

proyectos del rea?
42. Existe un catalogo de problemas?
43. El catalogo es accesible para todos los miembros del rea?
44. Se registran y controlan todos los proyectos fracasados?
Auditoria Desarrollo:
Para hallar el SI
37
27
100%
X
X = 72.97
50
Para hallar el NO
37
10
100%
X
X = 27.02
Auditoria de Desarrollo


4. Objetivos
Verificar el cumplimiento de los proyectos en proceso.
Revisar el cumplimiento de la normas generales
Revisar los recursos de la organizacin
Verificar los avances tecnolgicos.
Incumplimiento de plazos y calendarios de tratamientos y entrega de datos
Inexistencia y falta de uso de los Manuales de Operacin
Falta de planes de formacin
51

7. Conclusiones:
La municipalidad no desarrolla software de paliacin si no la adquiere.
.se calificado el ciclo de desarrollo de los procesos de la entidad en su mbito

de trabajo
8. Recomendaciones
Asignar un responsable un responsable para todos los procesos del Centro de

Cmputos.
Se debe asignar un grupo para el desarrollo de sofware.
Crear y hacer uso de manuales de operacin.
Realizar funciones de operacin, diseo de sistemas.
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
011004 al 1510- 16-1004 al 2011- 231104 al 28

04
04
11-04
APELLIDOS Y NOMBRES
CARGO
52
MUOZ ORTEGA, MADELEINE.
AUDITOR SUPERIOR
AUDITORIA DEL MANTENIMIENTO

Planes y procedimientos de Mantenimiento
Normativa
Realizar un informe de Auditoria con el objeto de evaluar el mantenimiento correctivo y

preventivo del software.
3. Referencia Legal:
Estndares
ISO/IEC 12207
IEEE 1074
IEEE 1219
ISO/IEC 14764
PREGUNTAS
SI
NO
N/A
1. Existe un contrato de mantenimiento.
2. Existe un programa de mantenimiento preventivo para

cada dispositivo del sistema de cmputo?
3. Se lleva a cabo tal programa?
4. Existen
tiempos
de
respuesta
de
compostura
estipulados en los contratos?
53
5. Si los tiempos de reparacin son superiores a los

estipulados en el contrato, Qu acciones correctivas se
toman para ajustarlos a lo convenido?
6. Existe plan de mantenimiento preventivo. ?
7. Este plan es proporcionado por el proveedor?
8. Se notifican las fallas?
9. Se les da seguimiento?
10. Tiene un plan logstico para dar soporte al producto

software?
11. Los requerimientos de mantenibilidad se incluyen en la
Actividad de Iniciacin durante el Proceso de Adquisicin
(ISO 12207) y se evala durante el Proceso de Desarrollo?
12. Las variaciones en el diseo son supervisadas durante el
desarrollo
para
establecer
su
impacto
sobre
la
mantenibilidad?
13. Se realizan varios tipos de medidas para poder estimar la
calidad del software?
14. La mantenibilidad se tiene en cuenta antes de empezar a
desarrollar?
15. El desarrollador prepara un Plan de Mantenibilidad que
establece prcticas especficas de mantenibilidad, as
como recursos y secuencias relevantes de actividades?
16. Durante el anlisis de requerimientos, los siguientes
aspectos que afectan a la mantenibilidad, son tomados en
cuenta?
Identificacin y definicin de funciones, especialmente
las opcionales.
Exactitud y organizacin lgica de los datos.
Los Interfaces (de mquina y de usuario).
Requerimientos de rendimiento.
54
Requerimientos
impuestos
por
el
entorno
(presupuesto).
Granularidad (detalle) de los requerimientos y su
impacto sobre la trazabilidad.
nfasis del Plan de Aseguramiento de Calidad del
Software (SQAP) en el cumplimiento de las normas de
documentacin
17. La transicin del software consiste en una secuencia
controlada y coordinada de acciones para trasladar un
producto software desde la organizacin que inicialmente
ha
realizado
el
desarrollo
la
encargada
del
mantenimiento?
18. La responsabilidad del mantenimiento se transfiere a una
organizacin distinta, se elabora un Plan de Transicin?
que es lo que incluye este plan?
La transferencia de hardware, software, datos y
experiencia desde el desarrollador al mantenedor.
Las tareas necesarias para que el mantenedor pueda
implementar una estrategia de mantenimiento del
software.
19. El mantenedor a menudo se encuentra con un producto
software con documentacin?
20. Si no hay documentacin, el mantenedor deber crearla?
Realiza lo siguiente?
a. Comprender el dominio del problema y operar con el
producto software.
b. Aprender la estructura y organizacin del producto
software.
c. Determinar qu hace el producto software. Revisar las
especificaciones (si las hubiera)
21. Documentos
como
especificaciones,
manuales
de
mantenimiento para programadores, manuales de usuario

o guas de instalacin pueden ser modificados o creados,
55
si fuese necesario?
22. El Plan de Mantenimiento es preparado por el mantenedor
durante el desarrollo del software.
23. Los elementos software reflejan la documentacin de

diseo?
24. Los productos software fueron suficientemente probados
y sus especificaciones cumplidas?
25. Los
informes
de
pruebas
son
correctos
las
discrepancias entre resultados actuales y esperados han

sido resueltas?
26. La documentacin de usuario cumple los estndares
especificados?
27. Los costes y calendarios se ajustan a los planes
establecidos?
Auditoria Mantenimiento:
Para hallar el SI
25
18
100%
X
X = 72
Para hallar el NO
25
7
100%
X
X = 28
56
Auditoria del Mantenimiento


4. Objetivos
Revisar los contratos y las clusulas que estn perfectamente definidas en
las cuales se elimine toda la subjetividad y con penalizacin en caso de
incumplimiento, para evitar contratos que sean parciales.
Verificar el cumplimiento del contrato sobre el control de fallas, frecuencia,
y el tiempo de reparacin.
Diagnstico del sistema actual de mantenimiento.
Verificar el montaje de mtodos de recopilacin de informacin en reas
especficas.
Verificar la existencia de de planes estratgicos de desarrollo.
Verificacin de la efectividad del mantenimiento actual y los desarrollos y
programas proyectados.
Verificar la optimizacin de almacenes y repuestos.
Prdida de control
Prdida de una fuente de aprendizaje, porque una actividad interna pasa a
ser externa.
Dependencias del suministrador.
57
Variaciones en la calidad del producto entregado al usuario final.

Problemas entre el personal.
Uso de metodologas para nuevos desarrollos, pero ausencia de ellas para
el mantenimiento.
Tendencia a la desestructuracin
Dificultad progresiva de modificacin
Falta de presupuesto
Falta de personal
Falta de apoyo de la Direccin

7. Conclusiones:
Como resultado de la Auditoria del Mantenimiento realizada al Municipio, por el


8. Recomendaciones
Modificacin de un producto software, o de ciertos componentes, usando para
el anlisis del sistema existente tcnicas de Ingeniera Inversa y, para la etapa
de reconstruccin, herramientas de Ingeniera Directa, de tal manera que se
oriente este cambio hacia mayores niveles de facilidad en cuanto a
mantenimiento, reutilizacin, comprensin o evolucin.
58
Categorizar los tipos de mantenimiento del software y para cada tipo planificar
las actividades y tareas a realizar.
Elaborar un procedimiento organizado para realizar la migracin de un
producto software desde un entorno operativo antiguo a otro nuevo.
Establecer un acuerdo o contrato de mantenimiento entre el mantenedor y el
cliente y las obligaciones de cada uno estos.
Elaborar un plan de mantenimiento que incluya el alcance del mantenimiento,
quin lo realizar, una estimacin de los costes y un anlisis de los recursos
necesarios.
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
011004 al 1510- 16-1004 al 2011- 231104 al 28

04
04
12-04
APELLIDOS Y NOMBRES
CARGO
QUIONEZ MAYTA, CARMEN
AUDITOR SUPERIOR
59
AUDITORIA DE BASE DE DATOS

1. Alcance de la auditoria:
Esta auditoria comprende solamente al rea de cetro de computo de la municipalidad

de mariscal nieto, con respecto al cumplimiento del proceso "De Gestin
administracin de la Base de Datos " de la de manera que abarca la explotacin,
mantenimiento, diseo carga, post implementacin, Los sistemas de gestin de base
de datos (SGBD), software de auditoria , sistema operativo protocolos y sistemas
distribuidos.
2. Objetivos
Verificar la responsabilidad para la planificacin de planillas y control de los
activos de datos de la organizacin (administrador de datos)
Verificar la responsabilidad de la administracin del entorno de la base de datos
(administrador de la base de datos)
Proporcionar servicios de apoyo en aspectos de organizacin y mtodos,
mediante la definicin, implantacin y actualizacin de Base de Datos y/o
procedimientos administrativos con la finalidad de contribuir a la eficiencia
PREGUNTAS
1. Existe equipos o software de SGBD
SI
NO
N/A
2. La organizacin tiene un sistema de gestin de base de

datos (SGBD)
3. Los datos son cargados correctamente en la interfaz grafica
4. Se verificar que los controles y relaciones de datos se
realizan de acuerdo a Normalizacin libre de error
5. Existe personal restringido que tenga acceso a la BD
6. El SGBD es dependiente de los servicios que ofrece el
Sistema Operativo
60
7. La interfaz que existe entre el SGBD y el SO es el

adecuado
8. Existen procedimientos formales para la operacin del
SGBD?
9. Estn actualizados los procedimientos de SGBD?
10. La periodicidad de la actualizacin de los procedimientos
es Anual ?
11. Son suficientemente claras las operaciones que realiza la
BD?
12. Existe un control que asegure la justificacin de los
procesos en el computador? (Que los procesos que estn
autorizados tengan una razn de ser procesados)
13. Se procesa las operaciones dentro del departamento de
cmputo?
14. Se verifican con frecuencia la validez de los inventarios de
los archivos magnticos?
15. Existe un control estricto de las copias de estos archivos?
16. Se borran los archivos de los dispositivos
almacenamiento, cuando se desechan estos?
de
17. Se registran como parte del inventario las nuevas cintas

magnticas que recibe el centro de computo?
18. Se tiene un responsable del SGBD?
19. Se realizan auditorias peridicas a los medios de

almacenamiento?
20. Se tiene relacin del personal autorizado para manipular
la BD?
21. Se lleva control sobre los archivos trasmitidos por el
sistema?
22. Existe un programa de mantenimiento preventivo para el

dispositivo del SGBD?
23. Existen integridad de los componentes y de seguridad de
datos?
61
24. De acuerdo con los tiempos de utilizacin de cada

dispositivo del sistema de cmputo, existe equipo capaces
que soportar el trabajo?
25. El SGBD tiene capacidad de teleproceso?
26. Se ha investigado si ese tiempo de respuesta satisface a
los usuarios?
27. La capacidad de almacenamiento mximo de la BD es
suficiente para atender el proceso por lotes y el proceso
remoto?
Auditoria Explotacin:
Para hallar el SI
24
19
100%
X
X = 79.16
Para hallar el NO
24
100%
5
X
X = 20.83
62
Auditoria de Base de Datos.


4. Objetivos
Evaluar el tipo de Base de Datos, relaciones,
plataforma o sistema
operativo que trabaja, llaves, administracin y dems aspectos que

repercuten en su trabajo.
Revisar del software institucional para la administracin de la Base de
Datos.
Verificar la actualizacin de la Base de Datos.
Verificar la optimizacin de almacenes de los Base de Datos
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y
velocidad en red para optimizar el desempeo de la base de datos.
No estn definidos los parmetros o normas de calidad.
Falta de presupuesto
Falta de personal
63
La gerencia de Base de datos no tiene un plan que permite modificar en

forma oportuna el plan a largo plazo de tecnologa, teniendo en cuenta los
posibles cambios tecnolgicos y el incremento de la base de datos..
No existe un calendario de mantenimiento de rutina peridico del software

definido por la Base de datos.

7. Conclusiones:


debido cumplimiento de Normas de seguridad de datos y administracin de la
Base de Datos.
8. Recomendaciones
Elaborar toda la documentacin lgica correspondiente a los sistemas de

administracin de la BD. Evaluar e implementar un software que permita
mantener el resguardo de acceso de los archivos de programas y an de los
programadores.
Implementar la relaciones con las diferentes reas en cuanto al compartimiento

de archivos permitidos por las normas
Capacitar al personal al manejo de la BD.
Dar a conocer la importancia del SGBD al usuario
64
FECHAS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
APELLIDOS Y NOMBRES
CARGO
MAMANI CUTIPA WILY
AUDITOR SUPERIOR
AUDITORIA DE CALIDAD
Objetivos:
Verificar los procesos aplicables del programa de la calidad han sido desarrollados
y documentados.
Evaluar la capacidad de realizar un trabajo especifico.
SI
Se reflejan el software codificado tal como en el diseo en la
documentacin?
Fueron probados con xito los productos de software usados en
el centro de computo?
Se cumplen las especificaciones de la documentacin del
usuario del software?
Los procesos de gestin administrativa aplicados en el rea de
informtica de la institucin son lo suficientemente ptimos?
El funcionamiento del software dentro del rea de trabajo estn
de acuerdo con los requerimientos especficos?
Los documentos de gestin administrativa se cumplen
satisfactoriamente en el rea de computo?
Los productos de software que utilizan en el rea de informtica
esta de acuerdo con los estndares establecidos?
Los dispositivos de trabajo en el rea de informtica se les
NO
N/A
X
X
X
X
X
X
X
X
65
realizan una revisin tcnica correcta?

Los costos fijados en la revisin tcnica se encuentran dentro de
los lmites fijados?
Auditoria Calidad:
Para hallar el SI
9
100%
5
X
X = 55.5
Para hallar el NO
9
100%
4
X
X = 44.4
Auditoria de Calidad


14. Objetivos
Verificar la calidad de servicio que ofrece el Software.
Evaluar el software institucional para la administracin.
Revisar que el equipo utilizado tiene suficiente poder de procesamiento y
velocidad en red para optimizar el desempeo de la organizacin.
66

16. Conclusiones:

debido cumplimiento de Normas de seguridad de datos y administracin de la
Base de Datos con respecto a calidad.
FECHAS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
APELLIDOS Y NOMBRES
CARGO
MAMANI CUTIPA WILY
AUDITOR SUPERIOR
67
AUDITORIA DE LA SEGURIDAD
Organizacin y calificacin del personal
Planes y procedimientos
Sistemas tcnicos de deteccin y comunicacin
Anlisis de puestos
Mantenimiento
Normativa

medidas aplicadas a las amenazas definidas, as como el cumplimiento de los
requisitos exigidos.
3. Referencia Legal:
Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD

2177/96),
Normativa
de
las
Comunidades
Autnomas
Ordenanzas
Municipales,
CEPREVEN.
4. Resultados: Se obtendr:
Informe de Auditoria detectando riesgos y deficiencias en el Sistema de Seguridad.

o
Riesgos
Normativa a cumplir
Costes estimados de las recomendaciones
68
AUDITORIA LOGICA
PREGUNTAS
1. Existen
medidas,
controles,
SI
procedimientos,
normas
NO
N/A
estndares de seguridad?
2. Existe un documento donde este especificado la relacin de las
funciones y obligaciones del personal?
3. Existen
procedimientos
de
notificacin
gestin
de
incidencias?
4. Existen procedimientos de realizacin de copias de seguridad y
de recuperacin de datos?
5. Existe una relacin del personal autorizado a conceder, alterar
o anular el acceso sobre datos y recursos?
6. Existe una relacin de controles peridicos a realizar para
verificar el cumplimiento del documento?
7. Existen medidas a adoptar cuando un soporte vaya a ser
desechado o reutilizado?
8. Existe una relacin del personal autorizado a acceder a los
locales donde se encuentren ubicados los sistemas que tratan
datos personales?
9. Existe una relacin de personal autorizado a acceder a los
soportes de datos?
10. Existe un perodo mximo de vida de las contraseas?
11. Existe una relacin de usuarios autorizados a acceder a los

sistemas y que incluye los tipos de acceso permitidos?
12. Los derechos de acceso concedidos a los usuarios son los
necesarios y suficientes para el ejercicio de las funciones que
tienen encomendadas, las cuales a su vez se encuentran o
deben estar- documentadas en el Documento de Seguridad?
13. Hay dadas de alta en el sistema cuentas de usuario genricas,
es decir, utilizadas por ms de una persona, no permitiendo por
69
tanto la identificacin de la persona fsica que las ha utilizado?

14. En la prctica las personas que tienen atribuciones y privilegios
dentro del sistema para conceder derechos de acceso son las
autorizadas e incluidas en el Documento de Seguridad?
15. El sistema de autenticacin de usuarios guarda las contraseas
encriptadas?
16. En el sistema estn habilitadas para todas las cuentas de
usuario las opciones que permiten establecer:
Un nmero mximo de intentos de conexin.
Un perodo mximo de vigencia para la contrasea,

coincidente con el establecido en el Documento de
Seguridad.
17. Existen procedimientos de asignacin y distribucin de

contraseas?
AUDITORIA FISICA
PREGUNTAS
SI
NO
N/A
1. Existen procedimientos para la realizacin de las copias de

seguridad?
2. Existen procedimientos que aseguran que, de todos los
ficheros con datos de carcter personal, se realiza copia al
menos una vez cada semana?
3. Hay procedimientos que aseguran la realizacin de copias de
todos aquellos ficheros que han experimentado algn cambio en
su contenido?
4. Existen controles para la deteccin de incidencias en la
realizacin de las pruebas?
5. Existen controles sobre el acceso fsico a las copias de
seguridad?
6. Slo las personas con acceso autorizado en el documento de
70
seguridad tienen acceso a los soportes que contienen las copias

de seguridad?
7. Las copias de seguridad de ficheros de nivel alto incluyen los
ficheros cifrados, si estas copias se transportan fuera de las
instalaciones?
8. Las copias de seguridad de los ficheros de nivel alto se
almacenan en lugar diferente al de los equipos que las

procesan?
9. Existe un inventario de los soportes existentes?
10. Dicho inventario incluye las copias de seguridad?
11. Las copias de seguridad, o cualquier otro soporte, se

almacenan fuera de la instalacin?
12. Existen procedimientos de actualizacin de dicho inventario?
13. Existen procedimientos de etiquetado e identificacin del

contenido de los soportes?
14. Existen procedimientos en relacin con la salida de soportes
fuera de su almacenamiento habitual?
15. Se evalan los estndares de distribucin y envo de estos
soportes?
16. Se Obtiene una relacin de los ficheros que se envan fuera de
la empresa, en la que se especifique el tipo de soporte, la forma
de envo, el estamento que realiza el envo y el destinatario?
17. Se Comprueba que todos los soportes incluidos en esa relacin
se encuentran tambin en el inventario de soportes mencionado
anteriormente?
18. Se Obtiene una copia del Registro de Entrada y Salida de
Soportes y se comprueba que en l se incluyen:
Los soportes incluidos en la relacin del punto anterior (y

viceversa)
Los desplazamientos de soportes al almacenamiento
71
exterior (si existiera)

19. Se Verifica que el Registro de Entrada y Salida refleja la
informacin requerida por el Reglamento:
a) Fecha y hora
b) Emisor/Receptor
c) N de soportes
d) Tipo de informacin contenida en el soporte.
e) Forma de envo
f)
Persona fsica responsable de la recepcin/entrega
20. Se Analiza los procedimientos de actualizacin del Registro de

Entrada y Salida en relacin con el movimiento de soportes?
21. Existen controles para detectar la existencia de soportes
recibidos/enviados que no se inscriben en el Registro de
Entrada/Salida?
22. Se Comprueba, en el caso de que el Inventario de Soportes y/o
el Registro de Entrada/Salida estn informatizados, que se
realizan copias de seguridad de ellos, al menos, una vez a la
semana?
23. Se realiza una relacin de soportes enviados fuera de la
empresa con la relacin de ficheros de nivel alto?
24. Se Verifica que todos los soportes que contiene ficheros con
datos de nivel Alto van cifrados?
25. Se Comprobar la existencia, como parte del Documento de
Seguridad, de una relacin de usuarios con acceso autorizado a
la sala?
26. Se Verifica que la inclusin del personal en la relacin anterior
es coherente con las funciones que tienen encomendadas?
27. Se Comprueba que la relacin es lgica (personal de
limpieza? Vigilantes de seguridad?).
28. Existen polticas de la instalacin en relacin con los accesos
ocasionales a la sala
29. Se Determina que personas tienen llaves de acceso, tarjetas,
etc. de acceso a la sala?g.
72
30. Se Comprueba que estn activados los parmetros de

activacin del Registro para todos los ficheros de Nivel Alto?
31. Se Analizan los procedimientos de descarga a cinta de este
Registro de Accesos y el perodo de retencin de este soporte?
32. Existen procedimientos de realizacin de copias de seguridad
del Registro de Accesos y el perodo de retencin de las copias?
33. Se
Verifica
la
asignacin
de
privilegios
que
permitan
activar/desactivar el Registro de Accesos para uno o ms

ficheros?
34. Se Comprueba que el Registro de Accesos se encuentra bajo
el control directo del Responsable de Seguridad pertinente?
Auditoria Calidad:
Para hallar el SI
39
100%
15
X
X = 38.46
Para hallar el NO
39
100%
24
X
X = 61.53
73
AREAS CRTICAS DE LA AUDITORIA DE

SEGURIDAD
Evaluacin de la seguridad en el acceso al Sistema
Preguntas
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
Evaluar los atributos de acceso al

sistema.
Evaluar los niveles de acceso al
sistema.
Evaluar
la
administracin
de
contraseas al sistema
Evaluar el monitoreo en el acceso
al sistema.
Evaluar
las
administrador
funciones
del
acceso
del
al
sistema.
Evaluar las medidas preventivas o
correctivas en caso de siniestros n
el acceso.
Evaluacin de la seguridad en el acceso al rea Fsica

Preguntas
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
Evaluar el acceso del personal al

centro de cmputo.
Evaluar el acceso de los usuarios y
terceros al centro de cmputo.
Evaluar el control de entradas y
74
salidas de bienes informticos del

centro de cmputo.
Evaluar la vigilancia del centro de
cmputo.
Evaluar las medidas preventivas o
correctivas en caso de siniestro en
el centro de cmputo.
Analizar
las
polticas
de
la
instalacin en relacin con los

accesos ocasionales a la sala.
Evaluacin de los planes de contingencias informticos

Preguntas
Evaluar
aplicacin
la
existencia,
y
uso
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
difusin,
de
contra
contingencias de sistemas.
Evaluar
la
aplicacin
de
simulacros, as como el plan contra

contingencias.
Evaluar
la
confidencialidad,
veracidad y oportunidad en la
aplicacin de las medidas del plan
contra contingencias.
Evaluacin de la seguridad en los sistemas computacionales

Preguntas
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
Evaluar el rendimiento y uso del

sistema computacional y de sus
perifricos asociados.
Evaluar la existencia, proteccin y
periodicidad de los respaldos de
75
bases
de
datos,
informacin
software
importante
de
e
la
organizacin.
Evaluar
la
instalaciones
configuracin,
y
seguridad
del
equipo de cmputo, mobiliario y

dems equipos.
Evaluar el rendimiento, aplicacin y
utilidad del equipo de cmputo,
mobiliario y dems equipos.
Evaluar
la
seguridad
en
el
procesamiento de informacin.
Evaluar
los
procedimientos
de
captura, procesamiento de datos y

emisin
de
resultados
de
los
sistemas computacionales.
Evaluacin de la proteccin contra la piratera y robo de informacin

Preguntas
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
Medidas preventivas.
Proteccin de archivos.
Limitacin de accesos.
Proteccin contra robos
Proteccin ante copias ilegales
76
Evaluacin de la proteccin contra virus informticos

Preguntas
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
100%
80%
60%
40%
20%
Excelente
Bueno
Regular
Mnimo
No cumple
Medidas preventivas y correctivas.
Uso de vacunas y buscadores de

virus.
Proteccin de archivos, programas
e informacin.
Evaluacin de la seguridad del hardware

Preguntas
Realizacin
de
inventarios
de
hardware, equipos y perifricos

asociados.
Evaluar la configuracin del equipo
de computo (hardware).
sistema
computacional
sus
fsico
del
perifricos asociados.
Evaluar
el
estado
hardware, perifricos y equipos

asociados
Evaluacin de la seguridad del Software

Preguntas
Realizacin
de
inventarios
de
software, paqueteras y desarrollos

empresariales.
77
Evaluar las licencias permisos y

usos
de
los
sistemas
computacionales.
software
de
los
sistemas
computacionales.
Verificar que la instalacin del
software, paqueteras y sistemas
desarrollados en la empresa sea la
adecuada
para
cubrir
las
necesidades de esta ultima.
78
Auditoria de la Seguridad


Municipalidad Provincial
4. Objetivos
Hacer un estudio cuidadoso de los riesgos potenciales a los que est sometida el
rea de informtica.
Revisar tanto la seguridad fsica del Centro de Proceso de Datos en su sentido
ms amplio, como la seguridad lgica de datos, procesos y funciones informticas
ms Importantes de aqul.
No existe documentaciones tcnicas del sistema integrado de la Cooperativa y

tampoco no existe un control o registro formal de las modificaciones efectuadas.
No se cuenta con un Software que permita la seguridad de las libreras de los

programas y la restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas

internas, en donde se describen los cambios o modificaciones que se requieren.
Falta de planes y Programas Informticos.
Poca identificacin del personal con la institucin
Inestabilidad laboral del personal
79
7. Conclusiones:
Como resultado de la Auditoria de la Seguridad realizada al Municipio, por el


8. Recomendaciones
Elaborar toda la documentacin tcnica correspondiente a los sistemas

implementados y establecer normas y procedimientos para los desarrollos y su
actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de

acceso de los archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los

sistemas, como as tambin las modificaciones y aprobaciones de programas
realizadas por los usuarios
El coste de la seguridad debe considerarse como un coste ms entre todos los

que son necesarios para desempear la actividad que es el objeto de la
existencia de la entidad, sea sta la obtencin de un beneficio o la prestacin
de un servicio pblico.
El coste de la seguridad, como el coste de la calidad, son los costes de

funciones imprescindibles para desarrollar la actividad adecuadamente. Y por
"adecuadamente" debe entenderse no slo un nivel de calidad y precio que
haga competitivo el servicio o producto suministrado, sino tambin un grado de
garanta de que dichos productos o servicios van a seguir llegando a los
usuarios en cualquier circunstancia.
80
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
011004 al 1510- 16-1004 al 2011- 231104 al 28

04
04
12-04
APELLIDOS Y NOMBRES
CARGO
QUIONEZ MAYTA, CARMEN
AUDITOR SUPERIOR
81
AUDITORIA A LOS SISTEMAS DE REDES

Calificacin del personal
Sistemas tcnicos de la red
Mantenimiento de la Red
2. Objetivos de la Auditoria.Realizar un informe de Auditoria con el objeto de verificar la adecuacin de las medidas
aplicadas a las amenazas definidas, as como el cumplimiento de los requisitos exigidos.
3. Referencia Legal.Manual de Autoproteccin aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96),
Normativa de las Comunidades Autnomas y Ordenanzas Municipales, CEPREVEN.
4. Resultados.Se obtendr:
Informe de Auditoria detectando deficiencias en el Sistema de Redes.

o
Normativa a cumplir
Recomendaciones
PREGUNTAS
SI
NO
N/A
1. La gerencia de redes tiene una poltica definida de
planeamiento de tecnologa de red?

2. Esta poltica es acorde con el plan de calidad de la
organizacin
3. La gerencia de redes tiene un plan que permite modificar en
forma oportuna el plan a largo plazo de tecnologa de redes ,

teniendo en cuenta los posibles cambios tecnolgicos o en la
organizacin?
4. Existe un inventario de equipos y software asociados a las
82
5.
redes de datos?
6. Existe un plan de infraestructura de redes?
7. El plan de compras de hardware y software para el sector

redes est de acuerdo con el plan de infraestructura de
redes?
8.
La responsabilidad operativa de las redes esta separada de las

de operaciones del computador?
9. Estn establecidos controles especiales para salvaguardar la

confidencialidad e integridad del procesamiento de los datos que
pasan a travs de redes pblicas, y para proteger los sistemas
conectados
10. Existen controles especiales para mantener la disponibilidad de los
servicios de red y computadoras conectadas?
11. Existen controles y procedimientos de gestin para proteger el
acceso a las conexiones y servicios de red.?
12. Existen protocolos de comunicaron establecida
13. Existe una topologa estandarizada en toda la organizacin

14. Existen normas que detallan que estndares que deben
cumplir el hardware y el software de tecnologa de redes?

15. La transmisin de la informacin en las redes es segura?
16. El acceso a la red tiene password?
Auditoria de Redes:
Para hallar el SI
14
100%
6
X
X = 42.85
83
Para hallar el NO
14
100%
8
X
X = 57.14
AREA CRITICA REDES

LISTADO DE VERIFICACIN DE AUDITORIA DE REDES
Gestin administrativa de la red.
100%
Excelente
Los objetivos de la
red
De computo
80%
Buena
60%
Regular
40%
Mnimo
20%
No cumple
Las caractersticas
de la
Red de computo
Los componentes
fsicos
de la red de
computo
La conectividad y
las
comunicaciones
de la red de
computo
Los servicios que

proporcionan
La red de computo
Las
configuraciones ,
topologas , tipos
Y cobertura de las
redes de computo.
Los protocolos de
comunicacin
interna
de la red.
La administracin
de la red de
Computo.
84
La seguridad de las
redes de computo .
Evaluacin de anlisis de la red de computo

Evaluar y calificar el cumplimiento
de los siguientes aspectos
Evaluacin de la existencia y uso de
metodologas , normas ,estndares y
polticas para el anlisis y diseo de
redes de computo .
Anlisis de la definicin de la
problemtica y solucin para instalar
redes de computo en la empresa .
Anlisis de cumplimiento de los
objetivos fundamentales de la
organizacin para instalar una red de
computo , evaluando en cada caso .
La forma de repartir los recursos
informticos de la organizacin ,
especialmente la informacin y los
activos.
La cobertura de servicios informticos
para la captura , el procesamiento y la
emisin de informacin en la
organizacin .
Excelente
Bueno
Regular
Mnimo
No cumple
La cobertura de los servicios de

comunicacin .
La frecuencia con que los usuarios
recurren a los recursos de la red
La confiabilidad y seguridades el uso
de la informacin institucional
La centralizacin , administracin ,
operacin asignacin y el control de
los recursos informticos de la
organizacin
La distribucin equitativa de los
costos de adquisicin y el control de
los recursos informticos de la
organizacin .
La escalabilidad y migracin de los
recursos computacionales de la
organizacin .
La satisfaccin de las necesidades de
poder computacional de la
organizacin ,sea con redes ,cliente
85

/servidor o mainframe
La solucin a los problemas de
comunicacin de informacin y datos
en las reas de la organizacin.
Anlisis de los estudios de viabilidad y factibilidad en el diseo e instalacin de la red de cmputo en la empresa:
Evaluar y calificar el cumplimiento
de los siguientes aspectos
Excelente
Bueno
Regular
Mnimo
No cumple
El estudio de factibilidad tecnolgica
El estudio factibilidad econmica

El estudio de factibilidad
administrativa
El estudio de factibilidad operativa
Evaluacin del diseo e implementacin de la red segn el mbito de cobertura

Excelente
Bueno
Regular
Mnimo
No cumple
Regular
Mnimo
No cumple
Anlisis de las
redes de
multicomputadoras
Evaluar el
funcionamiento de
la cobertura de
punto a punto
Evaluar el
funcionamiento de
la tecnologa que se
usa con un solo
cable entre las
mquinas
conectadas
Evaluar el
funcionamiento de
las aplicaciones,
usos y explotacin
de las redes
Anlisis de la red de rea local (L A N)
Excelente
Bueno
Evaluar el uso
adecuado y
confiable de la
tecnologa
86

utilizada
internamente para
la transmisin de
datos.
Evaluar la
restriccin
adoptada para
establecer el
tamao de la red
Evaluar la
velocidad.
Auditoria del Sistema de Redes


4. Objetivos
Evaluar el tipo de red, arquitectura topologa, protocolos de comunicacin, las
conexiones, accesos privilegios, administracin y dems aspectos que repercuten
en su instalacin.
Revisin del software institucional para la administracin de la red.
No se cuenta con un Software que permita la seguridad de restriccin y/o control a

la Red.
87
No existe un plan que asegure acciones correctivas asociadas a la conexin con

redes externas.
No estn definidos los parmetros o normas de calidad.
La gerencia de redes no tiene un plan que permite modificar en forma oportuna el

plan a largo plazo de tecnologa de redes , teniendo en cuenta los posibles
cambios tecnolgicos.
No existe un calendario de mantenimiento de rutina peridico del hardware

definido por la gerencia de redes.
No existe un plan proactivo de tareas a fin de anticipar los problemas y

solucionarlos antes de que los mismos afecten el desempeo de la red

7. Conclusiones:


cumplimiento de Normas de redes y funciones.
8. Recomendaciones
Elaborar toda la documentacin tcnica correspondiente a los sistemas de

redes. Evaluar e implementar un software que permita mantener el resguardo
de acceso de los archivos de programas y an de los programadores.
Implementar un plan que permita modificar en forma oportuna el plan a largo

plazo de tecnologa de redes.
Elaborar un calendario de mantenimiento de rutina peridico del hardware.
88
FECHAS
PLANEAMIENTO
EJECUCION
INFORME
011004 al 1510-04
16-1004 al 2011-04
231104 al 2811-04
APELLIDOS Y NOMBRES
MAMANI POMA, ORLANDO
JIMMY
CARGO
AUDITOR SUPERIOR
AUDITORIA DE APLICACIONES
Seleccin y evaluacin del personal de le propia institucin.
Estndares de Funcionamiento y Procedimientos del rea de informtica
Gestin Econmica del rea de Informtica
Estndares de funcionamiento y procedimiento del rea de informtica.
2. Objetivos
Realizar un informe de Auditoria con el objeto de verificar la adecuacin de los

estndares de funcionamiento y procedimiento del rea de informtica.
89
PREGUNTAS
SI
NO
N/A
1. Existe una lista de proyectos de sistema de procedimiento de

informacin y fechas programadas de implantacin que puedan
ser considerados como plan maestro?

2. Est relacionado el plan maestro con un plan general de
desarrollo de la dependencia?
3. Ofrece el plan maestro la atencin de solicitudes urgentes de
los usuarios?
4. Asigna el plan maestro un porcentaje del tiempo total de
produccin al reproceso o fallas de equipo?

5. Existe la lista de proyectos a corto plazo y largo plazo
6. Existe una lista de sistemas en proceso periodicidad y usuarios
X
X
7. Incluir el plazo estimado de acuerdo con los proyectos que se

tienen en que el departamento de informtica podra satisfacer
las necesidades de la dependencia, segn la situacin actual

8. Considera que el Departamento de Sistemas de Informacin de
los resultados esperados?
9. Existen fallas de exactitud en los procesos de informacin?
10. Se cuenta con un manual de usuario por Sistema?
X
X
X
11. Es claro y objetivo el manual del usuario?
12. Que opinin tiene el manual?
_______________________________________________________
13. Se interviene de su departamento en el diseo de sistemas?
_______________________________________________________
Auditoria de Aplicaciones:
90
Para hallar el SI
11
100%
6
X
X = 54.54
Para hallar el NO
11
100%
5
X
X = 45.45
Auditoria de Aplicaciones


4. Objetivos
Evaluar el papel del rea de informtica en la Institucin
Evaluar el plan estratgico del rea de Informtica.
Evaluar la seguridad de los programas en el sentido de garantizar que los

ejecutados por la maquina sean exactamente los previstos y no otros.
Evaluar la existencia del plan operativo anual del rea de Informtica
Verificar el cumplimiento de los objetivos, planes y presupuestos contenidos en

el plan de sistemas de informacin.
91
Evaluar el nivel de satisfaccin de los usuarios del sistema.
Verificar el grado de fiabilidad de la informacin.
Incumplimiento de los plazos previstos en cada una de las fases del

proyecto.
Ineficacia e inseguridad del sistema de control de accesos diseado.
Falta de metodologas utilizadas que asegure la modularidad de las

posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de
las mismas.
Incompatibilidad de las herramientas tcnicas utilizadas en los diversos

programas.
Falta de sencillez, modularidad y economa de recursos del diseo de

programas.

7. Conclusiones:
Como resultado de la Auditoria de Aplicaciones realizada al Municipio, por el

El rea de Informtica presenta deficiencias sobre todo en la falta de

metodologas que son necesarias al realizar un proyecto.
8. Recomendaciones
92
Emplear metodologas que asegure la modularidad de las posibles futuras

ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.
Realizar un control Interno de las Aplicaciones, verificando que las mismas

fases se utilicen en el rea correspondiente de Desarrollo
Hacer un estudio de Vialidad de la Aplicacin sobre todo para aquellas que son
largas complejas y caras.
Utilizar herramientas tcnicas compatibles
Capacitar al personal para el diseo de Programas para realizarlos con la

mxima sencillez, modularidad y economa de recursos
PLANEAMIENTO
FECHAS
EJECUCION
INFORME
011004 al 1510- 16-1004 al 2011- 231104 al 28

04
04
11-04
APELLIDOS Y NOMBRES
CARGO
MAMANI POMA ORLANDO
AUDITOR SUPERIOR
93
SI
NO
Fisica
31.1
68.86
Ofimatica
67.5
18.91
Direccion
70.58
29.41
Explotacin
65
35
Desarrollo
72.97
22.02
Mantenimiento
72
28
Base de Datos
79.16
20.83
Calidad
55.5
44.4
Seguridad
38.46
61.53
Redes
42.85
57.14
Aplicacion
54.54
45.45
Auditoria
94
CONCLUSIN
Al realizar el anterior trabajo se investigo acerca de todos los elementos que componen
La Municipalidad Provincial de Mariscal Nieto, tanto materiales como humanos, con lo
anterior, se puede dar uno cuenta auditar una institucin no es nada fcil, ya que si falla
un elemento del que se compone, trae consigo un efecto domino, que hace que los
dems elementos bajen su rendimiento, o en el peor de los casos sean causantes del
fracaso de la institucin.
Es mentira que lo ms importante para una empresa sea el equipo informtico con el que
se trabaja. El factor humano es lo mas importante, ya que si se cuenta con tecnologa de
punta, pero con personal no calificado o en desacuerdo con el desarrollo del Centro de
Computo optara por renunciar, o bien por seguir rezagando al mismo Asimismo la
capacitacin es importantsima, ya que si no hay capacitacin permanente, el personal
tcnico de la empresa decide abandonarla para buscar nuevos horizontes y mayor
oportunidad, aun sacrificando el aspecto econmico.
El aspecto organizativo tambin debe estar perfectamente estructurado, y las lneas de
mando deben estar bien definidas, evitando de esta manera la rotacin innecesaria de
personal, la duplicidad de funciones, las lneas alternas demando, etc. y que conllevan al
desquiciamiento de la estructura organizacional.
Hablando de seguridad, es indispensable el aseguramiento del equipo y de las
instalaciones, as como de la informacin, el control de los accesos tambin es punto
fundamental para evitar las fugas de informacin o manipulacin indebida de esta.
El Departamento de informtica es la parte medular de la empresa, es en donde los datos
se convierten en informacin til a las diferentes reas, es donde se guarda esta
informacin y por consecuencia, donde en la mayora de los casos se toman las
decisiones importantes para la empresa.
Adems al realizar la presente auditoria nos damos cuenta que dentro del ambiente
empresarial es de vital importancia contar con la informacin lo ms valiosa que sea, a
tiempo, de forma oportuna, clara, precisa y con cero errores para que se constituya en
una herramienta poderosa para la toma de decisiones, vindose reflejada en la obtencin
de resultados benficos a los fines de la organizacin y justificar el existir de toda la
organizacin o empresa.
Como resultado de la Auditoria Informtica realizada a la Municipalidad Provincial de
Mariscal Nieto, por el perodo comprendido entre el 01 de Setiembre al 29 de Diciembre
del 2004, podemos manifestar que hemos cumplido con evaluar cada uno de los objetivos
contenidos en el programa de auditoria.
El rea de Informtica presenta deficiencias en:
En su Seguridad
En el rea Fsica
95
En de Redes
Y en el debido cumplimiento de sus funciones.
Podremos estar tranquilos y seguros que nuestra funcin de auditores est funcionando
como se debe, y saber que cuando se siguen estos lineamientos se obtendrn sistemas
que no van a necesitar mantenimiento excesivo, que el cmputo va a ser parte de la
solucin y no parte del problema, como lo es hoy en da.
96
Informe Final de la Auditoria

LA MUNICIPALIDAD PROVINCIAL DE MARISCAL NIETO
Moquegua, 29 de Diciembre de 2.004
Seor Cervantes Games, Ivan
JEFE DEL REA DE INFORMTICA
De nuestra consideracin:
Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin el alcance
del
trabajo de Auditora del rea de Informtica practicada los das 16 de Setiembre al 23 de
Diciembre, sobre la base del
anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el
presente
informe, que a nuestro criterio es razonable.
Sntesis de la revisin realizada, clasificado en las siguientes secciones:
1.
En su Seguridad
2.
En el rea Fsica
3.
En Redes
El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su
anlisis.
a. Situacin. Describe brevemente las debilidades resultantes de nuestro anlisis.
b. Efectos y/o implicancias probables. Enuncian los posibles riesgos a que se encuentran
expuestos las
operaciones realizadas por la Cooperativa.
c. ndice de importancia establecida. Indica con una calificacin del 0 al 3 el grado crtico del
problema y
la oportunidad en que se deben tomar las acciones correctivas del caso.
0 = Alto ( acciones correctivas inmediatas)
1 = Alto ( acciones preventivas inmediatas)
2 = Medio ( acciones diferidas correctivas)
3 = Bajo ( acciones diferidas preventivas)
Segn el anlisis realizado hemos encontrado falencias en que no existe un Comit y plan
informtico; falencias en la seguridad fsica y lgica; no existe auditoria de sistemas; falta de
respaldo a las operaciones; accesos de los usuarios.
El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se
encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas
sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a los ciudadanos de la
Ciudad de Moquegua.
Agradecemos la colaboracin prestada durante nuestra visita por todo el personal de la
Municipalidad y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de
la presente que estime necesaria.
97
Atentamente.
ORLANDO JIMMY MAMANI POMA

MICHELLA AROHUANCA A.
WILLY MAMANI CUTIPA
CARMEN QUIONEZ MAYTA
MADELEINE MUOZ ORTEGA
NELSSY POCOHUANCA TURPO
A. Organizacin y Administracin del rea

A.1. Comit y Plan Informtico
a. Situacin
Con respecto al relevamiento efectuado, hemos notado lo siguiente:
No existe un Comit de Informtica o al menos no se encuentra formalmente establecido.
No existe ninguna metodologa de planificacin, concepcin y/o seguimiento de proyectos.
b. Efectos y/o implicancias probables
Posibilidad de que las soluciones que se implementen para resolver problemas operativos
sean
parciales, tanto en Hardware como en Software.
c. Indice de importancia establecida
1 ( uno )
d. Sugerencias
Establecer un Comit de Informtica integrado por representantes de las reas funcionales
claves ( Gerencia Administrativa, responsables de las reas Operativas, responsables de
Informtica y el responsable Contable).
Trazar los lineamientos de direccin del rea de Informtica.
Implementar normas y/o procedimientos que aseguren la eficaz administracin de los
recursos
informticos, y permitan el crecimiento coherente del rea conforme a la implementacin de
las
soluciones que se desarrollen y/o se requieran de terceros.
. Efectos y/o implicancias probables
La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores al
disminuir la posibilidad de los controles internos en el procesamiento de la informacin; y
limita la
cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los efectos de
satisfacer los requerimientos de las reas funcionales.
98
B. Seguridad Fsica Y Lgica

B.1. Entorno General
a. Situacin
Durante nuestra revisin, hemos observado lo siguiente:
No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado
a
este sector.
No existe detectores, ni extintores automticos.
Existe material altamente inflamable.
Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos fsicos o no
fsicos, incluyendo el riesgo Informtico.
No existe un puesto o cargo especifico para la funcin de seguridad Informtica.
Probable difusin de datos confidenciales.
Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de
controles
internos.
Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las
actividades informticas podran verse seriamente afectadas ante eventuales roturas y/o
desperfectos de los sistemas.
c. ndice de importancia establecida
0 ( cero )
d. Sugerencias
A los efectos de minimizar los riesgos descriptos, se sugiere:
Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de
Informtica.
Colocar detectores y extintores de incendios automticos en los lugares necesarios.
Remover del Centro de Cmputos los materiales inflamables.
Determinar orgnicamente la funcin de seguridad.
Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el
mismo, a
los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten.
B.2. Auditora de Sistema
a. Situacin
Hemos observado que la Municipalidad no cuenta con auditora Informtica , ni con
polticas
formales que establezcan responsables, frecuencias y metodologa a seguir para efectuar
revisiones de los archivos de auditora.
Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria
Informtica, el cual no es habilitado por falta de espacio en el disco duro.
99

Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos
componentes del procesamiento de datos (programas, archivos de datos, definiciones de
seguridad de acceso, etc ) o bien accesos a datos confidenciales por personas no autorizadas
que no sean detectadas oportunamente.
0 ( cero )
d. Sugerencias
Establecer normas y procedimientos en los que se fijen responsables, periodicidad y
metodologa de control de todos los archivos de auditoria que pudieran existir como asimismo,
de
todos los elementos componentes de los sistemas de aplicacin.
B.3. Operaciones de Respaldo
a. Situacin
Durante nuestra revisin hemos observado que:
Existe una rutina de trabajo de tomar una copia de respaldo de datos en Disckett, que se
encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica.
Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la
prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de confiabilidad.
La Cooperativa est expuesta a la perdida de informacin por no poseer un chequeo
sistemtico
peridico de los back-up's, y que los mismas se exponen a riesgo por encontrarse en poder del
auxiliar de informtica.
0 ( cero )
d. Sugerencias
Minimizar los efectos, ser posible a travs de:
Desarrollar normas y procedimientos generales que permitan la toma de respaldo
necesarios,
utilitario a utilizar.
Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto
del
rea de informtica, otra en la sucursal ms cercana y la ltima en poder del Jefe de rea.
Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas.
B.4. Acceso a usuarios
a. Situacin
De acuerdo a lo relevado hemos constatado que:
Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin que
cumple cada uno de los usuarios.
100
Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso.
Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema.
El sistema informtico no solicita al usuario, el cambio del Password en forma mensual.
b. Efectos y/o implicancia probables
Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida
entre el rea de sistema y los usuarios finales.
La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por
terceros.
2 ( dos )
d. Sugerencia
Implementar algn software de seguridad y auditoria existente en el mercado o desarrollar
uno
propio.
Establecer una metodologa que permita ejercer un control efectivo sobre el uso o
modificacin
de los programas o archivos por el personal autorizado.
B.5. Plan de Contingencias

a. Situacin
En el transcurso de nuestro trabajo hemos observado lo siguiente:
Ausencia de un Plan de Contingencia debidamente formalizado en el rea de Informtica.
No existen normas y procedimientos que indiquen las tareas manuales e informticas que
son
necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual
contingencia ( desperfectos de equipos, incendios, cortes de energa con ms de una hora ), y
que determinen los niveles de participacin y responsabilidades del rea de sistemas y de los
usuarios.
No existen acuerdos formalizados de Centro de Cmputos paralelos con otras empresas o
proveedores que permitan la restauracin inmediata de los servicios informticos de la
Cooperativa en tiempo oportuno, en caso de contingencia.
b. Efectos y/o implicancia probable
Prdida de informacin vital.
Prdida de la capacidad de procesamiento.
c. ndice de Importancia relativa
1 ( uno )
d. Sugerencias
Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos
manuales e informticos para restablecer la operatoria normal de la Cooperativa y establecer
los
101
responsables de cada sistema.

Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el desempeo de los
funcionarios responsables ante eventuales desastres.
Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los
equipos necesarios para sustentar la continuidad del procesamiento.
C. Desarrollo y mantenimiento de los sistemas de

aplicaciones
C.1. Entorno de Desarrollo y mantenimiento de las aplicaciones
a. Situacin
No existe documentaciones tcnicas del sistema integrado de la Cooperativa y tampoco no
existe un control o registro formal de las modificaciones efectuadas.
No se cuenta con un Software que permita la seguridad de las libreras de los programas y la
restriccin y/o control del acceso de los mismos.
Las modificaciones a los programas son solicitadas generalmente sin notas internas, en
donde
se describen los cambios o modificaciones que se requieren.
La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas,
demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin
del
personal nuevo en el rea.
Se incrementa an ms la posibilidad de producir modificaciones errneas y/o no
autorizadas a
los programas o archivos y que las mismas no sean detectadas en forma oportuna.
1 ( uno )
d. Sugerencias
Para reducir el impacto sobre los resultados de los efectos y consecuencias probables
sugerimos:
Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y
establecer normas y procedimientos para los desarrollos y su actualizacin.
Evaluar e implementar un software que permita mantener el resguardo de acceso de los
archivos de programas y an de los programadores.
Implementar y conservar todas las documentaciones de prueba de los sistemas, como as
tambin las modificaciones y aprobaciones de programas realizadas por los usuarios
Hardware
Equipamiento Central
La cooperativa cuenta actualmente con un Equipo Central Pentium IV con las siguientes
caractersticas:
Procesador Intel Pentium IV de 1.600 mhz
Memoria: Ram 128 MB
102
Almacenamiento: 35 GB de 10 K RPM
Conexin: Ethernet 10/100
Es un equipamiento ideal para las funciones que cumple y su configuracin es aceptable.
Tiene
posibilidades de crecimiento y el fabricante cuenta con repuestos y mantenimientos que
garantizan la
buena utilizacin del mismo.
Equipamiento Perifrico
La cooperativa cuenta en su casa central con 30 PCs de las cuales el 50%(cincuenta por
ciento)
aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y discos de 5 GB. El
resto son de
menor porte, pero el parque de computadoras personales es suficientemente apto para los
requerimientos actuales.
Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson
1200.
Adems cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos.
Equipamiento en Sucursales
Las sucursales cuentan con PCs AMD Athlon de 750 Mhz, 64 de memoria y discos de 5 GB.
Equipamiento holgadamente apto para las funciones que cumple.
Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con
impresoras a
chorro de tinta.
Cableado
El cableado es estructurado y con cables del tipo UTP categora 5, tanto en sucursales como
rea Informtica
Software
Software de Base
El sistema operativo con el que cuenta la Pentium IV es el de Windows Server 2000 que posee
una
importante estructura de seguridad.
Con sistema de red Windows 2000. Base de datos FOX .
103
ANEXOS
104
Encuesta
1. El rea cumple con las funciones asignadas en el MOF de la Institucin?
2. Cuntas personas laboran en el centro de cmputo?
Laboran 4 Personas.
3. Considera que el rea de trabajo es la adecuada o apropiada para el desempeo de
sus labores?
4. Considera que es adecuado el nmero de personas que laboran en el rea?
5. Se deja de realizar alguna actividad por falta de personal?
6. Esta el personal que utiliza el computador educado en las necesidades de
seguridad?
7. Con respecto a la parte fsica de la OCI; se cumple con las normas de seguridad
establecidas para los equipos de cmputo?
8. Esta el rea del computador libre de material combustible, como suministro de papel
en exceso de las necesidades inmediatas?
9. Existe en la OCI extinguidores de incendio claramente identificados para lo que uso
se refiere?
10. Sobre el mantenimiento del equipo; cuenta con las herramientas necesarias para
brindar un buen servicio en el momento requerido?
11. El rea cuenta con un respectivo plan de contingencias?
12. Si cuenta con un plan de contingencias Se han identificado las aplicaciones vitales
para operacin del rea?
105
106
CONSEJOS
1. Utiliza un buen antivirus y actualzalo frecuentemente.
2. Comprueba que tu antivirus incluye soporte tcnico, resolucin urgente de nuevos
virus y servicios de alerta.
3. Asegrate de que tu antivirus est siempre activo.
4. Verifica, antes de abrir, cada nuevo mensaje de correo electrnico recibido.
5. Evita la descarga de programas de lugares no seguros en Internet.
6. Rechaza archivos que no hayas solicitado cuando ests en chats o grupos de noticias
(news)
7. Analiza siempre con un buen antivirus los disquetes que vayas a usar en tu ordenador.
8. Retira los disquetes de las disqueteras al apagar o reiniciar tu ordenador.
9. Analiza el contenido de los archivos comprimidos.
10. Mantente alerta ante acciones sospechosas de posibles virus.
11. Aade las opciones de seguridad de las aplicaciones que usas normalmente a tu
poltica de proteccin antivirus.
12. Realiza peridicamente copias de seguridad.
13. Mantente informado.
14. Utiliza siempre software legal.
15. Exige a los fabricantes de software, proveedores de acceso a Internet y editores de
publicaciones, que se impliquen en la lucha contra los virus.
107
POLTICAS EN INFORMTICA PROPUESTA
TITULO I
DISPOSICIONES GENERALES
ARTICULO 1.- El presente ordenamiento tiene por ob jeto estandarizar y contribuir al

desarrollo informtico de las diferentes unidades administrativas de la Empresa NN.
ARTICULO 2.- Para los efectos de este instrumento se entender por:
Comit: Al equipo integrado por la Direccin , Subdireccin, los Jefes departamentales y
el personal administrativo de las diferentes unidades administrativas (Ocasionalmente)
convocado para fines especficos como:
Adquisiciones de Hardware y software
Establecimiento de estndares de la Empresa NN tanto de hardware como de

software
Establecimiento de la Arquitectura tecnolgica de grupo.
Establecimiento de lineamientos para concursos de ofertas
Administracin de Informtica: Est integrada por la Direccin, Subdireccin y Jefes

Departamentales, las cuales son responsables de:
Velar por el funcionamiento de la tecnologa informtica que se utilice en las

diferentes unidades administrativas
Elaborar y efectuar seguimiento del Plan Maestro de Informtica
Definir estrategias y objetivos a corto, mediano y largo plazo
Mantener la Arquitectura tecnolgica
Controlar la calidad del servicio brindado
Mantener el Inventario actualizado de los recursos informticos
Velar por el cumplimiento de las Polticas y Procedimientos establecidos.
ARTICULO 3.- Para los efectos de este documento, s e entiende por Polticas en
Informtica, al conjunto de reglas obligatorias, que deben observar los Jefes de Sistemas
108
responsables del hardware y software existente en la Empresa NN, siendo

responsabilidad de la Administracin de Informtica, vigilar su estricta observancia en el
mbito de su competencia, tomando las medidas preventivas y correctivas para que se

cumplan.
ARTICULO 4.- Las Polticas en Informtica son el conjunto de ordenamientos y

lineamientos enmarcados en el mbito jurdico y administrativo de la Empresa NN. Estas
normas inciden en la adquisicin y el uso de los Bienes y Servicios Informticos en la
Empresa NN, las cuales se debern de acatar invariablemente, por aquellas instancias
que intervengan directa y/o indirectamente en ello.
ARTICULO 5.- La instancia rectora de los sistemas de informtica de la Empresa NN es
la Administracin, y el organismo competente para la aplicacin de este ordenamiento, es
el Comit.
ARTICULO 6.- Las presentes Polticas aqu contenid as, son de observancia para la
adquisicin y uso de bienes y servicios informticos, en la Empresa NN, cuyo
incumplimiento generar que se incurra en responsabilidad administrativa; sujetndose a
lo dispuesto en la seccin Responsabilidades Administrativas de Sistemas.
ARTICULO 7.- Las empresas de la Empresa NN debern contar con un Jefe o
responsable del Area de Sistemas, en el que recaiga la administracin de los Bienes y
Servicios, que vigilar la correcta aplicacin de los ordenamientos establecidos por el
Comit y dems disposiciones aplicables.
TITULO II
LINEAMIENTOS PARA LA ADQUISICION DE BIENES DE INFORMATICA
ARTICULO 8.- Toda adquisicin de tecnologa inform tica se efecta a travs del
Comit, que est conformado por el personal de la Administracin de Informtica y
Gerente Administrativo de la unidad solicitante de bienes o servicios informticos.
ARTICULO 9.- La adquisicin de Bienes de Informti ca en la Empresa NN, quedar
sujeta a los lineamientos establecidos en este documento.
109
ARTICULO 10.- La Administracin de Informtica, al planear las operaciones relativas a

la adquisicin de Bienes informticos, establecer prioridades y en su seleccin deber
tomar en cuenta: estudio tcnico, precio, calidad, experiencia, desarrollo tecnolgico,
estndares y capacidad, entendindose por:
Precio.- Costo inicial, costo de mantenimiento y consumibles por el perodo

estimado de uso de los equipos;
Calidad.- Parmetro cualitativo que especifica las caractersticas tcnicas de los

recursos informticos.
Experiencia.- Presencia en el mercado nacional e internacional, estructura de

servicio, la confiabilidad de los bienes y certificados de calidad con los que se
cuente;
Desarrollo Tecnolgico.- Se deber analizar su grado de obsolescencia, su nivel

tecnolgico con respecto a la oferta existente y su permanencia en el mercado;
Estndares.- Toda adquisicin se basa en los estndares, es decir la arquitectura

de grupo empresarial establecida por el Comit. Esta arquitectura tiene una
permanencia mnima de dos a cinco aos.
Capacidades.- Se deber analizar si satisface la demanda actual con un margen

de holgura y capacidad de crecimiento para soportar la carga de trabajo del rea.
ARTICULO 11.- Para la adquisicin de Hardware se o bservar lo siguiente:

a) El equipo que se desee adquirir deber estar dentro de las listas de ventas vigentes de
los fabricantes y/o distribuidores del mismo y dentro de los estndares de la Empresa NN.
b) Debern tener un ao de garanta como mnimo
c) Debern ser equipos integrados de fbrica o ensamblados con componentes
previamente evaluados por el Comit.
d) La marca de los equipos o componentes deber contar con presencia y permanencia
demostrada en el mercado nacional e internacional, as como con asistencia tcnica y
refaccionaria local.
e) Tratndose de equipos microcomputadoras, a fin de mantener actualizado la
arquitectura informtico de la Empresa NN, el Comit emitir peridicamente las
especificaciones tcnicas mnimas para su adquisicin.
110
f) Los dispositivos de almacenamiento, as como las interfaces de entrada/salida, debern

estar acordes con la tecnologa de punta vigente, tanto en velocidad de transferencia de
datos, como en el ciclo del proceso.
g) Las impresoras debern apegarse a los estndares de Hardware y Software vigentes
en el mercado y la Empresa NN, corroborando que los suministros (cintas, papel, etc.) se
consigan fcilmente en el mercado y no estn sujetas a un solo proveedor.
h) Conjuntamente con los equipos, se deber adquirir el equipo complementario

adecuado para su correcto funcionamiento de acuerdo con las especificaciones de los
fabricantes, y que esta adquisicin se manifieste en el costo de la partida inicial.
i)Los equipos complementarios debern tener una garanta mnima de un ao y debern
contar con el servicio tcnico correspondiente en el pas.
j) Los equipos adquiridos deben contar, de preferencia con asistencia tcnica durante la
instalacin de los mismos.
k) En lo que se refiere a los computadores denominados servidores, equipo de
comunicaciones como enrutadores y concentradores de medios, y otros que se justifiquen
por ser de operacin crtica y/o de alto costo; al vencer su perodo de garanta, deben de
contar con un programa de mantenimiento preventivo y correctivo que incluya el
suministro de refacciones.
l) En lo que se refiere a los computadores denominados personales, al vencer su garanta
por adquisicin, deben de contar por lo menos con un programa de servicio de
mantenimiento correctivo que incluya el suministro de refacciones.
Todo proyecto de adquisicin de bienes de informtica, debe sujetarse al anlisis,
aprobacin y autorizacin del Comit.
ARTICULO 12: En la adquisicin de Equipo de cmput o se deber incluir el Software
vigente precargado con su licencia correspondiente considerando las disposiciones del
artculo siguiente.
ARTICULO 13.- Para la adquisicin de Software base y utilitarios, el Comit dar a

conocer peridicamente las tendencias con tecnologa de punta vigente, siendo la lista de
productos autorizados la siguiente:
a. Plataformas de Sistemas Operativos:
111
MS-DOS, MS- Windows 95 Espaol, Windows NT, Novell Netware, Unix(Automotriz).

b. Bases de Datos:
Foxpro, Informix
c. Manejadores de bases de datos:
Foxpro para DOS, VisualFox, Access

d. Lenguajes de programacin:
Los lenguajes de programacin que se utilicen deben ser compatibles con las plataformas
enlistadas.
SQL Windows
Visual Basic
VisualFox
CenturaWeb
Notes Designer
e. Hojas de clculo:
Excel
f.
Procesadores de palabras:
Word
g. Diseo Grfico:
Page Maker, Corel Draw

h. Programas antivirus.
F-prot, Command Antivirus, Norton Antivirus

i.
Correo electrnico
Notes Mail
j.
Browser de Internet
Netscape
112
En la generalidad de los casos, slo se adquirirn las ltimas versiones liberadas de los
productos seleccionados, salvo situaciones especficas que se debern justificar ante el
Comit. Todos los productos de Software que se adquieran debern contar con su
licencia de uso, documentacin y garanta respectivas.
ARTICULO 14.- Todos los productos de Software que se utilicen a partir de la fecha en
que entre en vigor el presente ordenamiento, debern contar con su licencia de uso
respectiva; por lo que se promover la regularizacin o eliminacin de los productos ya
instalados que no cuenten con la licencia respectiva.
ARTICULO 15.- Para la operacin del software de re d se debe tener en consideracin lo

siguiente:
a) Toda la informacin institucional debe invariablemente ser operada a travs de un
mismo tipo de sistema manejador de base de datos para beneficiarse de los mecanismos
de integridad, seguridad y recuperacin de informacin en caso de falla del sistema de
cmputo.
b) El acceso a los sistemas de informacin, debe contar con los privilegios niveles de
seguridad de acceso suficientes para garantizar la seguridad total de la informacin
institucional. Los niveles de seguridad de acceso debern controlarse por un
administrador nico y poder ser manipulado por software. Se deben delimitar las
responsabilidades en cuanto a quin est autorizado a consultar y/o modificar en cada
caso la informacin, tomando las medidas de seguridad pertinentes para cada caso.
c) El titular de la unidad administrativa responsable del sistema de informacin debe
autorizar y solicitar la asignacin de clave de acceso al titular de la Unidad de Informtica.
d) Los datos de los sistemas de informacin, deben ser respaldados de acuerdo a la
frecuencia de actualizacin de sus datos, rotando los dispositivos de respaldo y
guardando respaldos histricos peridicamente. Es indispensable llevar una bitcora
oficial de los respaldos realizados, asimismo, las cintas de respaldo debern guardarse en
un lugar de acceso restringido con condiciones ambientales suficientes para garantizar su
conservacin. Detalle explicativo se aprecia en la Poltica de respaldos en vigencia.
e) En cuanto a la informacin de los equipos de cmputo personales, la Unidad de
Informtica recomienda a los usuarios que realicen sus propios respaldos en la red o en
medios de almacenamiento alternos.
113
f) Todos los sistemas de informacin que se tengan en operacin, deben contar con sus
respectivos manuales actualizados. Uno tcnico que describa la estructura interna del
sistema as como los programas,
catlogos y archivos que lo conforman y otro que describa a los usuarios del sistema, los
procedimientos para su utilizacin.
h) Los sistemas de informacin, deben contemplar el registro histrico de las
transacciones sobre datos relevantes, as como la clave del usuario y fecha en que se
realiz (Normas Bsicas de Auditora y Control).
i )Se deben implantar rutinas peridicas de auditora a la integridad de los datos y de los
programas de cmputo, para garantizar su confiabilidad.
ARTICULO 16.- Para la contratacin del servicio de desarrollo o construccin de

Software aplicativo se observar lo siguiente:
Todo proyecto de contratacin de desarrollo o construccin de software requiere de un
estudio de factibilidad que permita establecer la rentabilidad del proyecto as como los
beneficios que se obtendrn del mismo.
Todo proyecto deber ser aprobado por el Comit en base a un informe tcnico que
contenga lo siguiente:
Bases del concurso (Requerimientos claramente especificados)
Anlisis de ofertas (Tres oferentes como mnimo) y Seleccin de oferta ganadora
Bases del Concurso

Las bases del concurso especifican claramente los objetivos del trabajo, delimita las
responsabilidades de la empresa oferente y la contratante.
De las empresas oferentes:
Los requisitos que se deben solicitar a las empresas oferentes son:
a. Copia de la Cdula de Identidad del o los representantes de la compaa
b. Copia de los nombramientos actualizados de los representantes legales de la
compaa
c. Copia de los Estatutos de la empresa, en que aparezca claramente definido el
objeto de la compaa, esto es para determinar si est o no facultada para realizar
la obra
d. Copia del RUC de la compaa
114
e. Referencias de clientes (Mnimo 3)

f.
La carta con la oferta definitiva del contratista debe estar firmada por el
representante legal de la compaa oferente.
De la contratante
Las responsabilidades de la contratante son:
a. Delinear adecuadamente los objetivos y alcance del aplicativo.
b. Establecer los requerimientos del aplicativo
c. Definir responsabilidades de la contratista y contratante
d. Establecer campos de accin
Anlisis de ofertas y Seleccin de oferta ganadora:

Para definir la empresa oferente ganadora del concurso, el Comit establecer una
reunin en la que se debe considerar los siguientes factores:
a. Costo
b. Calidad
c. Tiempo de permanencia en el mercado de la empresa oferente
d. Experiencia en el desarrollo de aplicativos
e. Referencias comprobadas de Clientes
f.
Cumplimiento en la entrega de los requisitos
Aprobada la oferta se debe considerar los siguientes lineamientos en la elaboracin de

contratos:
Todo contrato debe incluir lo siguiente:
Antecedentes, objeto del contrato, precio, forma de pago, plazo, obligaciones del
contratista, responsabilidades, fiscalizador de la obra, garantas, entrega recepcin de
obra provisional y definitiva, sanciones por incumplimientos, rescisin del contrato,
disposiciones supletorias, documentos incorporados, solucin de controversias, entre
otros aspectos.
Las garantas necesarias para cada contrato deben ser includas en forma conjunta con el
Departamento Legal, quienes deben asesorar el tipo de garanta necesaria en la
elaboracin de cada contrato.
Las garantas que se deben aplicar de acuerdo al tipo de contrato son:
115
a. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable y de

cobro inmediato por el 5% del monto total del contrato para asegurar su fiel
cumplimiento, la cual se mantendr vigente durante todo el tiempo que subsista la
obligacin motivo de la garanta.
b. Una garanta bancaria o una pliza de seguros, incondicional, irrevocable y de

cobro inmediato equivalente al 100 % (ciento por ciento) del anticipo. Esta garanta
se devolver en su integridad una vez que el anticipo se haya amortizado en la
forma de pago estipulada en el contrato.
c. Un fondo de garanta que ser retenido de cada planilla en un porcentaje del 5 %.
Junto al contrato se deber mantener la historia respectiva del mismo que se compone de
la siguiente documentacin soporte:
Estudio de factibilidad
Bases del concurso
Ofertas presentadas
Acta de aceptacin de oferta firmada por los integrantes del Comit
Informes de fiscalizacin
Acta de entrega provisional y definitiva
TITULO III
INSTALACIONES
ARTICULO 17.- La instalacin del equipo de cmputo , quedar sujeta a los siguientes
lineamientos:
a) Los equipos para uso interno se instalarn en lugares adecuados, lejos de polvo y
trfico de personas.
En las reas de atencin directa al pblico los equipos se instalarn en lugares
adecuados.
b) La Administracin de Informtica, as como las reas operativas debern contar con un
croquis actualizado de las instalaciones elctricas y de comunicaciones del equipo de
cmputo en red.
116
c) Las instalaciones elctricas y de comunicaciones, estarn de preferencia fijas o en su

defecto resguardadas del paso de personas o mquinas, y libres de cualquier
interferencia elctrica o magntica.
d) Las instalaciones se apegarn estrictamente a los requerimientos de los equipos,
cuidando las especificaciones del cableado y de los circuitos de proteccin necesarios;
e) En ningn caso se permitirn instalaciones improvisadas o sobrecargadas.
f) Cuando en la instalacin se alimenten elevadores, motores y maquinaria pesada, se
deber tener un circuito independiente, exclusivo para el equipo y/o red de cmputo.
ARTICULO 18.- La supervisin y control de las inst alaciones se llevar a cabo en los
plazos y mediante los mecanismos que establezca el Comit.
TITULO IV
LINEAMIENTOS EN INFORMATICA
CAPITULO I
INFORMACION
ARTICULO 19.- Los archivos magnticos de informaci n se debern inventariar,

anexando la descripcin y las especificaciones de los mismos, clasificando la informacin
en tres categoras:
1. Informacin histrica para auditoras
2. Informacin de inters de la Empresa NN
3. Informacin de inters exclusivo de algn rea en particular.
ARTICULO 20.- Los jefes de sistemas responsables d el equipo de cmputo y de la
informacin contenida en los centros de cmputo a su cargo, delimitarn las
responsabilidades de sus subordinados y determinarn quien est autorizado a efectuar
operaciones emergentes con dicha informacin tomando las medidas de seguridad
pertinentes.
ARTICULO 21.- Se establecen tres tipos de priorida d para la informacin:
1. Informacin vital para el funcionamiento de la unidad administrativa;
2. Informacin necesaria, pero no indispensable en la unidad administrativa;
3. Informacin ocasional o eventual.
117
ARTICULO 22.- En caso de informacin vital para el funcionamiento de la unidad

administrativa, se debern tener procesos concomitantes, as como tener el respaldo
diario de las modificaciones efectuadas, rotando los dispositivos de respaldo y guardando
respaldos histricos semanalmente.
ARTICULO 23.- La informacin necesaria pero no ind ispensable, deber ser respaldada
con una frecuencia mnima de una semana, rotando los dispositivos de respaldo y
guardando respaldos histricos mensualmente.
ARTICULO 24.- El respaldo de la informacin ocasio nal o eventual queda a criterio de la
unidad administrativa.
ARTICULO 25.- Los archivos magnticos de informaci n, de carcter histrico quedarn
documentados como activos de la unidad acadmica y estarn debidamente
resguardados en su lugar de almacenamiento.
Es obligacin del responsable del equipo de cmputo, la entrega conveniente de los
archivos magnticos de informacin, a quien le suceda en el cargo.
ARTICULO 26.- Los sistemas de informacin en opera cin, como los que se desarrollen
debern contar con sus respectivos manuales. Un manual del usuario que describa los
procedimientos de operacin y el manual tcnico que describa su estructura interna,
programas, catlogos y archivos.
CAPITULO II
FUNCIONAMIENTO
ARTICULO 27.- Es obligacin de la Administracin d e Informtica vigilar que el equipo de

cmputo se use bajo las condiciones especificadas por el proveedor y de acuerdo a las
funciones del rea a la que se asigne.
ARTICULO 28.- Los colaboradores de la empresa al u sar el equipo de cmputo, se
abstendrn de consumir alimentos, fumar o realizar actos que perjudiquen el
funcionamiento del mismo o deterioren la informacin almacenada en medios magnticos,
pticos, etc.
ARTICULO 29.- Por seguridad de los recursos inform ticos se deben establecer
seguridades:
Fsicas
118
Sistema Operativo
Software
Comunicaciones
Base de Datos
Proceso
Aplicaciones
Por ello se establecen los siguientes lineamientos:
Mantener claves de acceso que permitan el uso solamente al personal autorizado

para ello.
Verificar la informacin que provenga de fuentes externas a fin de corroborar que

estn libres de cualquier agente externo que pueda contaminarla o perjudique el
funcionamiento de los equipos.
Mantener plizas de seguros de los recursos informticos en funcionamiento
ARTICULO 30.- En ningn caso se autorizar la util izacin de dispositivos ajenos a los
procesos informticos de la unidad administrativa.
Por consiguiente, se prohibe el ingreso y/o instalacin de hardware y software particular,
es decir que no sea propiedad de una unidad administrativa de la Empresa NN, excepto
en casos emergentes que la Direccin autorice.
CAPITULO III
PLAN DE CONTINGENCIAS
ARTICULO 31.- La Administracin de Informtica cre ar para las empresas y

departamentos un plan de contingencias informticas que incluya al menos los siguientes
puntos:
a) Continuar con la operacin de la unidad administrativa con procedimientos informticos
alternos;
b) Tener los respaldos de informacin en un lugar seguro, fuera del lugar en el que se
encuentran los equipos.
c) Tener el apoyo por medios magnticos o en forma documental, de las operaciones
necesarias para reconstruir los archivos daados;
119
d) Contar con un instructivo de operacin para la deteccin de posibles fallas, para que
toda accin correctiva se efecte con la mnima degradacin posible de los datos;
e) Contar con un directorio del personal interno y del personal externo de soporte, al cual
se pueda recurrir en el momento en que se detecte cualquier anomala;
f) Ejecutar pruebas de la funcionalidad del plan
f) Mantener revisiones del plan a fin de efectuar las actualizantes respectivas
CAPITULO IV
ESTRATEGIAS
ARTICULO 32.- La estrategia informtica de la DDT se consolida en el Plan Maestro de

Informtica y est orientada hacia los siguientes puntos:
a) Plataforma de Sistemas Abiertos;
b) Descentralizacin del proceso de informacin
c) Esquemas de operacin bajo el concepto cliente/servidor
d) Estandarizacin de hardware, software base, utilitarios y estructuras de datos
e) Intercomunicacin entre unidades y equipos mediante protocolos estndares
f) Intercambio de experiencias entre Departamentos de Informtica.
g) Manejo de proyectos conjuntos con las diferentes unidades administrativas.
h) Programa de capacitacin permanente para los colaboradores de la empresa del rea
de informtica
i) Integracin de sistemas y bases de datos de la Empresa NN, para tener como meta final
un Sistema Integral de Informacin Corporativo.
j) Programacin con ayudas visuales e interactivas. Facilitando interfases amigables al
usuario final.
k) Integracin de sistemas teleinformticos (Intranet De grupo empresarial).
ARTICULO 33.- Para la elaboracin de los proyectos
informticos y para la
presupuestacin de los mismos, se tomarn en cuentan tanto las necesidades de

hardware y software de la unidad administrativa solicitante, como la disponibilidad de
recursos con que stas cuenten.
120
DISPOSICIONES TRANSITORIAS
ARTICULO PRIMERO.- Las disposiciones aqu enmarcadas, entrarn en vigor a partir del
da siguiente de su difusin.
ARTICULO SEGUNDO.- Las normas y polticas objeto de este documento, podrn ser
modificadas o adecuadas conforme a las necesidades que se vayan presentando,
mediante acuerdo del Comit Tcnico de Informtica de la Empresa NN (CTI); una vez
aprobadas dichas modificaciones o adecuaciones, se establecer su vigencia.
ARTICULO TERCERO.- Las disposiciones aqu descritas constan de forma detallada en
los manuales de polticas y procedimientos especficos existentes.
ARTICULO CUARTO.- La falta de desconocimiento de las normas aqu descritas por
parte de los colaboradores no los libera de la aplicacin de sanciones y/o penalidades por
el incumplimiento de las mismas.
121
Bibliografa
Audinet : http://www.audinet.org
Sans Institute : http://www.sans.org
AUDITORIA INFORMATICA. Un enfoque prctico

Mario Piatini Emilio del Peso Ed. Rama
AUDITORIA DE LOS SISTEMAS DE INFORMACIN

Rafael Bernal y scar Coltell Univ. Politcnica de Valencia
122

Auditoria Informatica-Municipalidad Moquegua

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Auditoria Informatica-Municipalidad Moquegua

Caricato da

Copyright:

Formati disponibili

A

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

UNIVERSIDAD JOS CARLOS MARITEGUI

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

La presente Auditoria se realiza en cumplimiento del Plan Anual de Control 2003,

1.2.1. OBJETIVO GENERAL

Revisar y Evaluar los controles, sistemas, procedimientos de informtica; de los

1.2.2. OBJETIVOS ESPECIFICOS

estandarizacin y evaluar el cumplimiento de los mismos.

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

La convencin Nacional el 29 de Diciembre de 1857 aprueba la ley que es

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

La presente Auditoria Informtica se realizara en la Municipalidad Provincial de

1.5.RELACION DE FUNCIONARIOS O PERSONAL A CARGO DEL AREA A

Av. Balta N232

01.01.03 30.12.03 Calle Lima N1420

Solicitud de Manuales y Documentaciones.

Elaboracin de los cuestionarios.

organizacional: estructura orgnica, recursos

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

Aplicacin del cuestionario al personal.

Entrevistas a lderes y usuarios mas

Anlisis de las claves de acceso, control,

Evaluacin de la estructura orgnica:

Evaluacin de los Recursos Humanos y de la

Evaluacin de los sistemas: relevamiento de

Evaluacin del Proceso de Datos y de los

Revisin de los papeles de trabajo.

Determinacin del Diagnostico e Implicancias.

Elaboracin de la Carta de Gerencia.

Elaboracin del Borrador.

Elaboracin y presentacin del Informe.

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

Polticas, estndares, normas y procedimientos.

Planes de seguridad y continuidad

Contratos, plizas de seguros.

Organigrama y manual de funciones.

1.8.EJECUCION DE LA REVISION ESTRATEGICA

1.8.1. CONOCIMIENTO INICIAL DE LA ENTIDAD

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

Anteriormente, el gobierno local de la provincia de Mariscal Nieto-Moquegua

construccin data de 1799 y que fue donada a la Municipalidad de Moquegua el 05

1.8.2. AUTORIDADES DE LA MUNICIPALIDAD PROVINCIAL DE MARISCAL

Dr. Vicente Antonio

Ing. Oscar Paredes Vargas

Mag. Victor Cornejo

1.8.3. PRINCIPALES ACTIVIDADES:

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

Contratar con otras entidades pblicas y no pblicas, preferentemente locales,

1.8.4. FUNCIONES GENERALES

UNIVERSIDAD PRIVADA JOSE CARLOS MARIATEGUI

CONSEJO DE COORDINACION DISTRITAL

JUNTA DE DELEGADOS VECINALES

COMIT MUNICIPAL DEFENSORIA DEL NIO Y DEL

SUB GERENCIA DE IMAGEN

COMIT PROVINCIAL DE DEFENSA CIVIL

COMIT DE DEFENSA DEL USUARIO

SUB GERENCIA SUPERVISION

SUB GERENCIA DE EJCUCION

GERENCIA DE ASESORIA JURIDICA